none
Безопасное подключение бездоменных VPN-клиентов RRS feed

  • Вопрос

  • Уважаемые коллеги!
    Есть домен на Win2003 Ent SP2 и ISA 2006 SP1
    Планируется организовать доступ удаленных VPN-пользователей во внутреннюю сеть. Какие есть варианты обеспечения безопасности?
    Насколько я понимаю, компы постоянных удаленных пользователей достаточно ввести в домен.
    А как поступить с остальными?
    Интересует обеспечение безопасности на случай компрометации имени/пароля пользователя при попытке подключения с компа, не являющегося членом домена.
    Хочецца сделать так, чтобы сертификаты удаленным пользователям, выполняющим вход с компов, не входящих в домен, выдавались не автоматически, а после одобрения со стороны админа. Такое возможно?
    Буду рад если предложите альтернативные варианты.

Ответы

  • Сделано следующее:

    - На ISA разрешены входящие PPTP и L2TP, раздача адресов через DHCP
    - Задан preshared key для L2TP
    - Сделан шаблон для сертификата IPSec для L2TP-клиентов:
    http://support.microsoft.com/kb/555281 
    Чтобы сертификат не выдавался автоматически, в свойствах шаблона поставлена соответствующая галка на вкладке "Требования выдачи".
    - Разрешен доступ VPN-клиентов к внутреннему CA

    Что в результате получилось:

    Захожу с удаленного компа под учетной записью пользователя по PPTP, открываю в браузере CA, создаю запрос на сертификат.
    Захожу снова, теперь уже с правами админа, подключаюсь по RDP, открываю консоль CA, удовлетворяю запрос.
    Захожу опять под пользователем, открываю CA, получаю и устанавливаю свой новый сертификат.
    Отключаюсь,  изменяю свойства подключения с PPTP на L2TP, ввожу предварительный ключ.
    Попытка подключиться длится несколько секунд, затем получаю "Удаленный компьютер не отвечает".
    В логах ISA красных строк нет.

    Где смотреть и что крутить?


    Выяснил. Провайдер не пропускает L2TP-трафик. Занавес :(

    P.S. Оказалось что у провайдера админы не слишком мудрые
    А дело было только в нехватке ключика в реестре у клиента:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
    "AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

    Добавил это - и все завелось.
    • Помечено в качестве ответа Konstantin Frantsev 16 июня 2009 г. 12:58
    • Снята пометка об ответе Konstantin Frantsev 20 июня 2009 г. 19:50
    • Помечено в качестве ответа Konstantin Frantsev 20 июня 2009 г. 19:52
    16 июня 2009 г. 12:58

Все ответы

  • Я рекомендую Вам использовать возможности L2TP для обеспечения удаленного доступа в сеть предприятия.

    > Какие есть варианты обеспечения безопасности?
    Надежная аутентификация - сертификаты. Надежное шифрование - IPSec. Все это обеспечивает L2TP. Для удаленных пользователей также полезно задействовать возможности сетевого карантина.

    > Насколько я понимаю, компы постоянных удаленных пользователей достаточно ввести в домен.
    Зачем? Достаточно обеспечить их компьютеры сертификатами. Как будут аутентифицироваться пользователи - решать Вам. Если боитесь "компрометации" верительных данных - используйте сертификаты пользователей, но на токенах (смарт-карты).

    Хочецца сделать так, чтобы сертификаты удаленным пользователям, выполняющим вход с компов, не входящих в домен, выдавались не автоматически, а после одобрения со стороны админа. Такое возможно?
    Возможно. Посмотрите настройки шаблонов.

    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Посмотрите настройки шаблонов.
    Посмотрел. Как я понимаю, нужно создать копию шаблона "Проверка подлинности рабочей станции" и его изменять.
    - Как отделять запросы удаленных компов от запросов из внутренней сети?

    3 июня 2009 г. 12:09
  • - Как отделять запросы удаленных компов от запросов из внутренней сети?
    Вроде нашёл... На вкладке Безопасность удалить "Компьютеры домена", и добавить "Компьютеры сервера терминалов". Вечером проверю, завтра скажу результат...
    3 июня 2009 г. 12:53
  • Сделано следующее:

    - На ISA разрешены входящие PPTP и L2TP, раздача адресов через DHCP
    - Задан preshared key для L2TP
    - Сделан шаблон для сертификата IPSec для L2TP-клиентов:
    http://support.microsoft.com/kb/555281 
    Чтобы сертификат не выдавался автоматически, в свойствах шаблона поставлена соответствующая галка на вкладке "Требования выдачи".
    - Разрешен доступ VPN-клиентов к внутреннему CA

    Что в результате получилось:

    Захожу с удаленного компа под учетной записью пользователя по PPTP, открываю в браузере CA, создаю запрос на сертификат.
    Захожу снова, теперь уже с правами админа, подключаюсь по RDP, открываю консоль CA, удовлетворяю запрос.
    Захожу опять под пользователем, открываю CA, получаю и устанавливаю свой новый сертификат.
    Отключаюсь,  изменяю свойства подключения с PPTP на L2TP, ввожу предварительный ключ.
    Попытка подключиться длится несколько секунд, затем получаю "Удаленный компьютер не отвечает".
    В логах ISA красных строк нет.

    Где смотреть и что крутить?

    15 июня 2009 г. 8:59
  • Сделано следующее:

    - На ISA разрешены входящие PPTP и L2TP, раздача адресов через DHCP
    - Задан preshared key для L2TP
    - Сделан шаблон для сертификата IPSec для L2TP-клиентов:
    http://support.microsoft.com/kb/555281 
    Чтобы сертификат не выдавался автоматически, в свойствах шаблона поставлена соответствующая галка на вкладке "Требования выдачи".
    - Разрешен доступ VPN-клиентов к внутреннему CA

    Что в результате получилось:

    Захожу с удаленного компа под учетной записью пользователя по PPTP, открываю в браузере CA, создаю запрос на сертификат.
    Захожу снова, теперь уже с правами админа, подключаюсь по RDP, открываю консоль CA, удовлетворяю запрос.
    Захожу опять под пользователем, открываю CA, получаю и устанавливаю свой новый сертификат.
    Отключаюсь,  изменяю свойства подключения с PPTP на L2TP, ввожу предварительный ключ.
    Попытка подключиться длится несколько секунд, затем получаю "Удаленный компьютер не отвечает".
    В логах ISA красных строк нет.

    Где смотреть и что крутить?


    Выяснил. Провайдер не пропускает L2TP-трафик. Занавес :(

    P.S. Оказалось что у провайдера админы не слишком мудрые
    А дело было только в нехватке ключика в реестре у клиента:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec]
    "AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

    Добавил это - и все завелось.
    • Помечено в качестве ответа Konstantin Frantsev 16 июня 2009 г. 12:58
    • Снята пометка об ответе Konstantin Frantsev 20 июня 2009 г. 19:50
    • Помечено в качестве ответа Konstantin Frantsev 20 июня 2009 г. 19:52
    16 июня 2009 г. 12:58