главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Настольные Windows-программы будут работать на смартфонах
  • Windows 10 Insider Preview: вышла сборка 14986
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Включение нового ISA Firewall в вашу сеть может быть сопряжено с проблемами. С одной стороны, вы хотите получить новые возможности и преимущества в защищенности, предоставляемые новым брандмауэром, но с другой стороны, вы не хотите дезорганизовать вашу сетевую инфраструктуру, так как подобные действия несут в себе потенциальную угрозу прерывания работы служб.

    Пожалуй наиболее легким способом установить новый брандмауэр является метод Rip and Replace (Удалить и Заменить), когда вы настраиваете новый брандмауэр так же, как и предыдущий, после чего удаляете более старый и устанавливаете новый. Хоть это может показаться легким на бумаге, в реальности организации часто несут «невозместимые издержки», связанные с брандмауэрами и хотят, чтобы текущая инфраструктура окупила себя до своей замены.

    Еще одним важным соображением является то, что новый брандмауэр может задействовать совсем другие методы управления и политику, которая может не согласоваться с тем, что было ранее.

    По этим и другим причинам я часто рекомендую при установке нового ISA firewall использовать преимущества имеющейся инфраструктуры вместо подхода Rip and Replace (Удалить и Заменить). Хотя есть несколько возможных решений, которые вы можете использовать, наиболее защищенный вариант – использовать для брандмауэров конфигурацию «back to back».

    В подобном случае компания сохраняет свой текущий брандмауэр как внешний и помещает ISA Firewall позади него. Таким образом, брандмауэр ISA будет размещен наиболее близко к тем ресурсам, для защиты которых он предназначен.

    Установка ISA Firewall на заданную инфраструктуру сети VPN с удаленным доступом

    Я часто сталкиваюсь с подобным дизайном инфраструктуры и проблемами настройки, связанными с ним. Часто поднимающимся вопросом является следующий – что делать с соединениями удаленного доступа к корпоративной сети клиентов VPN? Большинство компаний с уже существующей инфраструктурой начинают использовать старый брандмауэр как сервер VPN и иногда пользуются особой, несовместимой с RFC программой-клиентом VPN, что подключается исключительно к брандмауэру поставщика. Эти компании желают сохранить их существующую инфраструктуру VPN, но при этом хотят разрешить VPN клиентам доступ к ресурсам, расположенным в корпоративной сети под защитой ISA Firewall.

    Другим весьма распространенным случаем является такой, когда при уже существующем сервере VPN с удаленным доступом компания использует какое-либо «широкополосное» NAT устройство для подключения к Интернет, и хочет поставить ISA Firewall как внутренний брандмауэр. Наиболее часто встречающиеся ситуации для данного типа конфигурации таковы - компания должна использовать PPPoE для подключения к сети DSL, или же использовать DHCP для того, чтобы получить открытый адрес кабельной сети.

    Во втором случае, где устройство NAT находится перед ISA Firewall, часто используется SBS 2003 Service Pack 1 с брандмауэром ISA, установленным на нем, а сервер SBS присоединяется к нескольким физическим линиям. Хоть я никогда не видел в этом особого смысла, пользователи часто хотят прерывать свои VPN соединения к устройству NAT, расположенному перед сервером SBS, но все еще хотят иметь доступ к ресурсам, расположенным на компьютерах под управлением SBS и к ресурсам, расположенными в корпоративной сети за сервером SBS.

    В обоих случаях, и с SBS/внешним устройством NAT, и с корпоративным внешним брандмауэром, компания хочет прервать соединение удаленного доступа VPN на устройстве перед ISA Firewall, а не в ISA Firewall, и каким-либо образом разрешить удаленным клиентам VPN доступ к ресурсам, расположенным позади внутреннего ISA Firewall. Это именно то, на что о чем я буду говорить в этой серии статей.

    ПРИМЕЧАНИЕ:
    Хоть положения и процедуры, что я обсуждаю в этой серии статей и относятся к SBS 2003 Service Pack 1 с используемым ISA 2004, я не буду подробно описывать все шаги, необходимые для работы данной конфигурации в таком окружении. Оставим подробности профессионалам SBS.

    В этой статье мы сосредоточим наше внимание на следующих вопросах:

    • Прерывание VPN соединения у внешнего брандмауэра. Возможные проблемы, нуждающиеся в рассмотрении, при прерывании соединений удаленного доступа клиентов VPN перед ISA Firewall
    • Настройка IP адресации для VPN клиентов внешнего VPN сервера. Для VPN клиентов должна быть назначена IP адресация, позволяющая им подключаться к зоне DMZ между внешним брандмауэром или устройством NAT и ISA Firewall, и разрешающая подключения к корпоративной сети, расположенной за ISA Firewall.
    • Настройка ISA Firewall. Настройка ISA Firewall будет включать в себя также настройку новой сети ISA Firewall Network для зоны DMZ между брандмауэрами, настройку правила Network Rule и политики Access Policy, контролирующих трафик, проходящий через ISA Firewall к удаленным VPN клиентам и от них.
    • Создание сети FE DMZ Network. Мы создадим новую сеть ISA Firewall Network из диапазона адресов с сетевым идентификатором для сегмента сети между внешним брандмауэром и внутренним ISA Firewall.
    • Настройка правила Network Rule для пространства между внутренней сетью и сетью FE DMZ Network. После того, как новая сеть ISA Firewall Network создана, мы создадим маршрут между зоной DMZ и внутренней сетью, расположенной за ISA Firewall.
    • Настройка политики ISA Firewall для FE DMZ VPN клиентов. Должна быть настроена политика брандмауэра, контролирующая, какой трафик может проходить сквозь ISA Firewall к удаленным VPN клиентам и от них. Также необходимы правила DNS для разрешения имен для удаленных клиентов VPN.
    • Настройка программы-клиента VPN. Программа-клиент должна быть настроена для VPN соединения удаленного доступа. При необходимости это означает и настройку VPN протокола и поддержку раздельного туннелирования. Возможно, что удаленный VPN клиент может выступать в качестве одного или нескольких типов клиентов ISA Firewall во время соединения.
    • Поддержка Web Proxy. Удаленный VPN клиент может поддерживать подключения Web proxy клиента к брандмауэру ISA Firewall во время VPN сеанса. Мы посмотрим, какие затруднения тут могут встретиться, и рассмотрим образец конфигурации.
    • Поддержка клиента брандмауэра. В этом случае, подобная поддержка недоступна. Мы изучим спорные вопросы и увидим, что вы теряете в плане безопасности при обрыве соединения у внешнего брандмауэра вместо ISA Firewall.
    • Поддержка SecureNAT. Удаленные VPN клиенты де-факто являются SecureNAT клиентами брандмауэра ISA Firewall. Мы обсудим достоинства и недостатки такой ситуации.
    • Проверка соединений. Все проверяется на практике. В этой части мы изучим, что происходит во время подключений удаленных VPN клиентов, когда они получают доступ к Интернет и ресурсам в корпоративной сети позади ISA Firewall (или же на самом ISA Firewall).

    Прерывание VPN соединения у внешнего брандмауэра или NAT устройства

    Прежде чем углубляться в подробности конфигурации, связанные с установкой VPN с удаленным доступом и пунктом прерывания перед ISA Firewall, вы должны иметь общее представление о сетевой архитектуре, маршрутизации и путях запроса/отклика для различных типов соединений, создаваемых при удаленном VPN подключении.

    На рисунке 1 продемонстрирована основная сетевая структура, при которой удаленный VPN клиент прерывает VPN соединение у брандмауэра или устройства NAT, размещенного перед ISA Firewall. Зеленой линией на рисунке показано удаленное VPN подключение к брандмауэру или внешнему интерфейсу NAT устройства.

    Внутренний интерфейс внешнего брандмауэра или устройства NAT подключен к общему хабу или свитчу, с которым соединен внешний интерфейс ISA Firewall. Вы также можете использовать этот сегмент сети для подключения веб, FTP или других серверов, к которым вы предоставляете анонимный доступ из Интернет.

    Внешний интерфейс ISA Firewall подключен к общему хабу/свитчу, с которым соединен внутренний интерфейс внешнего брандмауэра или устройства NAT, равно как и другие серверы, которые могут быть помещены в зону DMZ. Заметьте, что независимый свитч или хаб не понадобится. У многих брандмауэров и устройств NAT есть множество LAN портов. В таком случае, вы можете присоединить внешний интерфейс к одному из LAN портов устройства и а также подключить любой сервер с анонимным доступом к тому же устройству.

    ВНИМАНИЕ:
    Весьма важно не допускать прямых соединений из защищенной сети позади ISA firewall и сети DMZ или Интернет. ISA Firewall должен быть подключен, чтобы контролировать весь входящий и исходящий трафик корпоративной сети. Чуть позже в этой статье я расскажу о том, что я называю кошмарным сценарием, где это требование не соблюдено.

    Причиной, по которой в зоне DMZ между внешним интерфейсом ISA Firewall и внешним брандмауэром или устройством NAT стоит размещать лишь серверы с анонимным доступом, является то, что вы полностью зависите от защиты, обеспечиваемой устройством NAT или простым брандмауэром, чтобы защитить линии связи, ведущие внутрь сегмента DMZ и из него.

    По этой причине не нужно размещать важные корпоративные ресурсы в этой зоне DMZ. Для этого принципа можно сделать исключение, если использовать два брандмауэра ISA Firewall, внешний и внутренний. Или же если вы используете брандмауэр с высоким уровнем защиты, схожим с ISA Firewall, как например Check Point c технологией «Application intelligence».

    Прерывание VPN соединения перед ISA Firewall
    Рисунок 1


    Прерывание VPN соединения у простого брандмауэра с поточной проверкой трафика или устройства NAT

    Ключевым для этого решения является понимание отношений маршрутизации для коммуникации с удаленным VPN клиентом. На рисунке 2 показаны отношения маршрутизации между различными сетями:

    • Отношения ROUTE между внутренней сетью позади ISA Firewall и сегментом DMZ между ISA Firewall и брандмауэром/устройством NAT. Это позволяет нам создавать и правила публикации и правила доступа для контроля трафика между удаленными клиентами VPN и корпоративной сетью

    • Отношения ROUTE между внутренней сетью, размещенной позади ISA Firewall, и Интернет. Правило Network Rule, устанавливающее отношения маршрутизации между внутренней сетью и внешней создается автоматически, когда вы устанавливаете ISA Firewall на устройство, подключенное к нескольким линиям связи, также вводятся в действие отношения ROUTE между внутренней сетью и Интернет

    • Отношения ROUTE между удаленным клиентом VPN и зоной DMZ, расположенной между ISA Firewall и внешним брандмауэром/устройством NAT. ISA Firewall не осведомлен об этом и не должен быть, так как это не влияет на его настройки

    • Отношения ROUTE между внутренней сетью и удаленным клиентом VPN. Причиной этому служит то, что мы должны провести маршрут между внутренней сетью и зоной DMZ, расположенной между ISA Firewall и внешним брандмауэром/устройством NAT. Поскольку для удаленного клиента VPN будет назначен IP адрес с тем же самым сетевым идентификатором, что используется в сегменте DMZ, отношения маршрутизации между внутренней сетью позади ISA Firewall и удаленными клиентами VPN будут такими же, как и отношения маршрутизации между внутренней сетью и зоной DMZ, то есть ROUTE.

    Прерывание VPN соединения перед ISA Firewall
    Рисунок 2


    Прерывание VPN соединения у простого брандмауэра с поточной проверкой трафика или устройства NAT и отношения маршрутизации между сетями

    Теперь, когда вы знаете о ключевых отношениях маршрутизации для всех линий связи, относящихся к подключениям удаленных клиентов VPN, следующим шагом в понимании того, как именно работает данное решение, будет обзор путей запроса/отклика касательно линий связи для удаленных клиентов VPN.

    На рисунке 3 показаны четыре пути запроса/отклика:

    1...Это путь запроса/отклика для соединений между удаленными клиентами VPN и внутренней сетью под защитой ISA Firewall. Отношения маршрутизации, управляющие этими соединениями, позволяют вам использовать и правила доступа и правила публикации для контроля уровня доступа удаленных клиентов при подключении к внутренней сети позади ISA Firewall.

    2...Это путь запроса/отклика для соединений между удаленными клиентами VPN и зоной DMZ, расположенной между ISA Firewall и внешним брандмауэром/устройством NAT. Контроль уровня доступа для подключений клиентов VPN определяется возможностями внешнего брандмауэра/устройства NAT. Если у вас нечто более продвинутое, вы сможете осуществлять контроль доступа с фильтрацией пакетов или даже контроль пользователей. Если же у вас лишь простой брандмауэр с поточной проверкой трафика или устройство NAT вы почти не будете контролировать, к чему удаленные клиенты VPN получают доступ в сети DMZ.

    3...Это путь запроса/отклика для подключений к ресурсам Интернет. Это один из двух случаев, зависящих от возможностей вашего внешнего брандмауэра или устройства NAT. Если он не поддерживает обратную передачу в Интернет, чтобы позволить удаленным клиентам VPN подключение к ресурсам Интернет, тогда вы можете настроить программу удаленного доступа VPN для включения раздельного туннелирования. Хотя раздельное туннелирование обычно считается рискованным с точки зрения безопасности, это единственная возможность предоставить удаленным клиентам VPN доступ к Интернет, если ваш внешний брандмауэр или устройство NAT не поддерживает обратную передачу через внешний интерфейс.

    4...Это путь запроса/отклика для подключений к Интернет ресурсам. Это второй случай, где ваш внешний брандмауэр или устройство NAT позволяет удаленным VPN клиентам доступ к Интернет ресурсам путем обратной передачи через устройство. Это устраняет необходимость включения раздельного туннелирования и заодно предоставляет вам потенциальную возможность ввести какой-либо вид корпоративной политики брандмауэра для удаленных клиентов VPN при подключении к VPN серверу. Подобная конфигурация имеет свои преимущества в предотвращении проблем защищенности, связанных с раздельным туннелированием, но ее недостатком является то, что удаленные клиенты VPN используют пропускную способность корпоративной сети при подключении к Интернет.

    Прерывание VPN соединения перед ISA Firewall
    Рисунок 3


    Прерывание VPN соединения у простого брандмауэра с поточной проверкой трафика или устройства NAT и пути запроса/отклика для корпоративной сети и подключений Web Proxy к Интернет

    На рисунке 4 показаны пути запроса/отклика, доступные, если использовать конфигурацию, при которой удаленные VPN клиенты используют ISA Firewall как устройство Web proxy при подключении к удаленному серверу VPN:

    1...Этот путь запроса/отклика используется для всех не-HTTP/HTTPS соединений, если внешний брандмауэр не поддерживает обратную передачу через устройство для подключения к Интернет.

    2...Этот путь запроса/отклика используется для всех не-HTTP/HTTPS соединений, если внешний брандмауэр поддерживает обратную передачу через устройство для подключения к Интернет.

    3...Этот путь запроса/отклика используется для всех HTTP/HTTPS/HTTP туннелированных FTP запросов, если удаленный клиент VPN настроен для использования ISA Firewall как сервер Web proxy server при подключении к серверу VPN. Возможность это сделать зависит от вашей программы-клиента VPN и ее интеграции с Windows.

    Например, если вы используете «родную» программу-клиент VPN, которая поставляется вместе с Windows XP Service Pack 2, вы можете подключиться к внешнему брандмауэру или устройству NAT, используя VPN протоколы PPTP, L2TP/IPSec и L2TP/IPSec NAT-T. После этого вы можете настроить клиент VPN для использования ISA Firewall как устройства Web proxy при подключении к серверу VPN, расположенному перед ISA Firewall. Это позволит вам ввести политику ISA Firewall policy и фильтрацию содержимого для удаленного клиента VPN при подключении к серверу VPN.

    Эта конфигурация также позволяет вам вести всеобъемлющие записи обо всех сайтах и их содержанию, к которым получил доступ пользователь, включая имя пользователя в файлах записей, которое может быть использовано в отчетах об активности пользователя в Интернете. Настройка клиента Web proxy автоматически останавливается, когда клиент отключается от VPN сервера, размещенного перед ISA Firewall. Поддержка настройки клиента Web proxy зависит от программы-клиента VPN, которую вы используете.

    Прерывание VPN соединения перед ISA Firewall
    Рисунок 4


    Кошмарный сценарий

    На рисунке 5 показано то, что я называю кошмарным сценарием (nightmare scenario), и то, что чаще всего вижу в SBS сети, установленной кем-либо, кто незнаком с моделью безопасности ISA Firewall и сетевой безопасностью вообще. Я также наблюдал попытки сделать подобное у пользователей, незнающих о сетях TCP/IP.

    В данном случае есть способ, позволяющий подключения между корпоративной сетью, зоной DMZ и Интернет, минующие ISA Firewall. Наиболее часто люди получают подобный вариант, поставив между хаб или свитч между внешним интерфейсом ISA Firewall и внешним брандмауэром/устройством NAT и подключив внешний интерфейс ISA Firewall и внутренний интерфейс внешнего брандмауэра/устройства NAT к одному и тому же хабу/свитчу. В дополнение к этому, они подключают этот хаб/свитч к другому, расположенному внутри корпоративной сети. Это обеспечивает обходной маршрут мимо ISA Firewall.

    Этот сценарий я назвал кошмарным по следующим причинам:

    1...Он предоставляет обходной маршрут, который позволяет злонамеренным пользователям обойти ISA Firewall.

    2...Он не будет работать. Внутренний и внешний интерфейсы ISA Firewall должны быть в сетях с разными идентификаторами. Внешний интерфейс должен быть в той же самой сети, что и LAN интерфейс внешнего брандмауэра/устройства NAT. Поскольку внешний интерфейс ISA Firewall должен находиться в разных сетях с внутренним интерфейсом, LAN интерфейс внешнего брандмауэра/устройства NAT должен быть подключен не к той сети, где находится внутренний интерфейс ISA Firewall, что, как минимум, означает, что хосты, расположенные в подсетях внутренней сети, размещены не в той сети, к которой подключен LAN интерфейс внешнего брандмауэра/устройства NAT.

    Конечно, вы можете схитрить и изменить IP адрес и шлюз, принадлежащий хосту во внутренней сети, так, что этот IP адрес будет в сети с тем же самым идентификатором, что и та сеть, куда подключен LAN интерфейс внешнего брандмауэра/устройства NAT, а потом настроить шлюз клиента под IP адрес LAN интерфейса внешнего брандмауэра/устройства NAT. Это позволит злонамеренному пользователю полностью обойти ISA Firewall, чтобы подключиться к Интернет, а злонамеренному внешнему пользователю получить доступ к корпоративной сети.

    Вы играете с огнем, когда позволяете пользователям обходить ISA Firewall, как им вздумается. По этой причине, название кошмарный вполне подходит этого сценария.

    Прерывание VPN соединения перед ISA Firewall
    Рисунок 5


    В этой статье мы обсудили вопросы внедрения ISA Firewall в уже существующую инфраструктуру брандмауэра и сети VPN с удаленным доступом. Есть несколько вариантов, и наиболее защищенные из них принуждают все подключения внутрь и извне корпоративной сети проходить через ISA Firewall. Чтобы получить более глубокое представление о том, как работает данное решение, мы изучили используемые отношения маршрутизации, а также пути запроса/отклика для удаленных клиентов VPN. Во второй части этой серии статей, мы перейдем к деталям конфигурации и рассмотрим особенности каждой опции настройки.
    Назад Вперед


    Оцените статью:
    Голосов 0

    Материалы по теме:
  • Lan2net NAT Firewall 1.95.
  • ISA-брандмауэр клиент для Windows Vista.
  • Traffic Inspector 1.1.5.221 - Идеальное решение для корпоративной сети
  • Майкрософт приобрела компанию Whale Communications
  • Lan2net NAT Firewall 1.6


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет восемь минус четыре?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+