Симбиоз PKI и VPN в Windows Server 2008R2 и Windows 7

Реализация VPN в Windows Server 2008R2 претерпела значительные изменения, теперь успех зависит в том числе и от умения управлять сертификатами.

Сегодня большая редкость, когда все части компании находятся в одном здании, чаще офисы территориально размещены ближе к заказчикам в разных районах города или регионам страны. Единственным безопасным способом объединить их в единую сеть и обеспечить прозрачный доступ к информации это использовать технологию виртуальных частных сетей (ВЧС, англ. Virtual Private Network, VPN). Последнее реализовать можно разными средствами и способами, используя как программные так и аппаратные решения. Не остались в стороне разработчики Microsoft, в последней серверной версии Windows Server 2008 R2 поддерживается четыре протокола VPN (PPTP, L2TP, IPsec и SSTP) плюс технология DirectAcces. Все они используют для аутентификации цифровые сертификаты. Например, аутентификация не считается сильной стороной PPTP, но в Windows Server 2008R2 поддерживается расширение EAP-TLS, обеспечивающее наибольшую безопасность для PPTP. Вот для его работы нам и потребуется сертификат сервера. В корпоративной среде таких сертификатов может насчитываться десятки и сотни, поэтому разворачивают инфраструктуру управления открытыми ключами (PKI — Public Key Infrustructure). Рассмотрим, как заставить работать вместе VPN и PKI.

Создание сертификата

Служба сертификации Active Directory (Active Directory Certificate Services, AD CS) является одним из компонентов Active Directory и обеспечивает создание и управление сертификатами, которые могут быть использованы для всех технологий и сервисов (VPN, EFS, защита доступа к сети и других). Начиная с Windows Server 2008 пользователи и компьютеры, входящие в домен, могут получать сертификат при помощи механизма автоматической выдачи, что очень упрощает администрирование, ведь не нужно беспокоиться о его доставке. Роль службы сертификации Active Directory устанавливается стандартно, просто отмечаем флажком одноименный пункт.

Установка роли Центра сертификации


На этапе выбора службы ролей будет предложено 6 пунктов, отмечаем как минимум Центр сертификации и Служба регистрации в центре сертификации через Интернет, мастер предложит дополнительно установить роль Веб-сервер IIS с поддержкой технологии ASP. Выбираем тип центра сертификации (ЦС) — Предприятие (Enterprice CA) или Автономный ЦС (Standalone CA). Первый — для создания сертификатов использует шаблоны и возможности службы Active Directory, для их распространения задействуется групповые политики. Генерируем закрытый ключ, указав имя ЦС и домена. По умолчанию используется алгоритм шифрования SHA1 с длиной ключа 2048 бит, ключ будет действителен в течение 5 лет (то есть до этого срока будут действительны и все выданные ЦС сертификаты). В большинстве случаев этого достаточно. После установки управление сертификатами производится из вкладки в Диспетчере сервера, консолей Центр сертификации и Центра регистрации работоспособности, ярлыки для запуска которых находятся в меню Администрирование и консоли PKI предприятия (PKIView). Кроме этого для управления сертификатами следует добавить оснастки MMC – Сертификаты и Шаблоны сертификатов (Файл — Добавить или удалить оснастку).
Для удобства создания сертификатов используются шаблоны доступ к которым производится из консоли Шаблоны сертификатов. В списке их более двух десятков, назначение их понятно из названия и краткого описания. В контексте статьи нас интересует IPSec (для IKEv2) или RAS и IAS сервер (для EAP PPTP). Хотя теоретически можно выбрать любой, затем копируем шаблон через контекстное меню и редактируем его свойства в соответствии с назначением, результат сохраняем под любым удобным именем, чтобы в дальнейшем шаблон можно было бы использовать повторно. В частности во вкладке свойств сразу прописываем название группы, члены которой будут подключаться через VPN. В разрешениях обязательно ставим флажок “Автоматическая подача заявок
Теперь осталось запросить сертификат с VPN сервера. Это можно сделать через оснастку MMC Сертификаты или веб-интерфейс службы регистрации в центре сертификации (https://wpconfig.ru/certsrv). В процессе работы мастера выбираем шаблон сертификата, при необходимости редактируем свойства и нажимаем кнопку Заявка. В случае Enterprice CA сертификат автоматически устанавливается на сервер.

Веб-интерфейс службы регистрации в центре сертификации

Разворачиваем службу маршрутизации и удаленного доступа

Типичная инфраструктура, необходимая для создания VPN на базе Windows Server 2008 R2 состоит из контроллера домена, сервера сертификатов, серверов RRAS (Routing and Remote Access, маршрутизации и удаленного доступа) и политики сети (NPS, Network Policy Server). Конкретное размещение этих компонентов зависит от топологии сети и предполагаемой нагрузки (количества пользователей). Все сервисы кроме контроллера домена Active Directory, который должен быть “спрятан” и хорошо защищен, вполне могут работать на одном компьютере. Сервер с ролью RRAS, должен обязательно иметь две сетевые карты. Кроме него для аутентификации можно задействовать любой внешний RADIUS сервер. Раздача внутренних IP-адресов для клиентов VPN клиентам производится средствами RRAS сервера или при помощи отдельного DHCP сервера. В последнем случае следует помнить, что RRAS может арендовать на DHCP сервере до 10 адресов одновременно.
Для пользователей, которые будут подключаться через VPN, создается отдельная группа в службе каталогов, а все серверы с перечисленными ролями должны быть подключены к домену. В свойствах учетной записи (консоль Active Directory – пользователи и компьютеры) следует активировать пункт Управление на основе политик удаленного доступа (Control Access Through NPS Network Policy) или Разрешить доступ (Allow Access) в меню Входящие звонки (Dial-in).
Сервер RRAS является одной из служб ролей Службы политики сети и доступа (NPS, Network Policy and Access Services). Отмечаем последний в окне установки роли в Диспетчере сервера, затем на этапе выбора служб роли ставим флажок в Роль службы маршрутизации и удаленного доступа. Если планируется использовать IPSec то следует активировать пункт Центр регистрации работоспособности (Health Registration Authority, HRA) компонент NAP, обеспечивающим безопасность для соединений по этому протоколу.
По окончании установки во вкладке Роли в Диспетчере сервера появится новый пункт. Также в меню Администрирование появится ярлык для запуска консолей Сервер политики сети и Маршрутизация и удаленный доступ.
Сервис установлен, но не настроен. В начале нужно его активировать. Запускаем консоль. По умолчанию подключение производится к локальной системе, к удаленной системе подсоединяемся выбрав ссылку Добавить сервер.
Выбираем в контекстном меню пункт Настроить и включить маршрутизацию и удаленный доступ (Configure and Enable Routing and Remote Access), появляется мастер предлагающий активировать один из пяти вариантов преднастройки сервера, четыре из них предоставляют готовые установки. По умолчанию предлагается пункт Удаленный доступ (VPN или модем) (Remote access (dial-up or VPN)), который подходит для большинства ситуаций применения VPN. Остальные “отвечают” за активацию сервиса NAT, связки VPN+NAT, соединение между двумя сетями и выборочную настройку. Если внешние клиенты должны получать доступ к серверу сертификации, может потребоваться и NAT, иначе SSTP соединение работать не будет. В таком случае выбираем Доступ к виртуальной частной сети (VPN) и NAT (Virtual Private Network (VPN) access and NAT).
Далее отмечаем внешний сетевой интерфейс, к которому будут подключаться VPN клиенты. После чего мастер предложит определиться с тем, как назначать IP-адреса клиентам: автоматически или вручную. Вариант Автоматически подходит для тех случаев, когда в сети имеется установленный и настроенный DHCP сервер. Иначе указываем Из заданного диапазона адресов (From a specified range of addresses) и вводим диапазон IP-адресов. Если в сети не используется RADIUS сервер, то аутентификацию пользователей можно производить средствами RRAS, для этого следующем окне оставляем значение Нет, использовать службу маршрутизации и удаленного доступа … (No, use Routing and Remote Access Server …). По окончании настроек появится сообщение, говорящее о том, что выбранный режим распределения IP-адресов потребует наличия агента DHCP-ретрансляции (DHCP Relay Agent). Просто принимаем это к сведению, никаких действий больше производить не нужно.
В окне консоли Маршрутизация и удаленный доступ стали доступны дополнительные вкладки, в которых настраивается маршрутизация (IPv4 и IPv6) и сетевые интерфейсы, список подключившихся клиентов и состояние портов и другие. Выбрав свойства сервера RRAS, мы получим еще ряд настроек на 7 вкладках. Здесь найдем все что установлено при помощи мастера, назначение большинства должно быть понятно, стоит просто пройтись по пунктам, чтобы разобраться со всеми возможностями сервера.
Самой интересной является вклада Безопасность. В частности в списке Поставщик службы проверки подлинности указывается RADIUS серверы (если используются). По умолчанию для PPTP используются механизмы проверки подлинности EAP и MS-CHAPv2, которые являются наиболее защищенными и поэтому рекомендуемыми. В случае необходимости, нажав кнопку Методы проверки подлинности, можно добавить поддержку PAP, CHAP, IKEv2 или разрешить анонимный вход (без проверки подлинности). Для протокола SSTP следует активировать флажок Использование HTTP и указать сертификат при помощи раскрывающегося списка Сертификат. Сертификата пока у нас нет, мы его сгенерируем далее.

Настройки безопасности соединения RRAS


Чтобы разрешить HTTP и HTTPS запросы на сервер сертификации, выбираем IPv4 -Преобразование сетевых адресов (NAT) и в контекстном меню, всплывающем по щелчку мышки на внешнем сетевом интерфейсе, выбираем его свойства. Теперь переходим в окно Службы и порты (Services and Ports) и устанавливаем флажки в пункты Веб-сервер (HTTP) и Безопасный веб-сервер (HTTPS). В диалоговом окне Изменить службу вводим IP-адрес сервера сертификации, находящегося во внутренней сети.

Создание политики NPS

Теперь нужно создать политики NPS в консоль управления Сервер политики сети. Это можно сделать несколькими способами — самый простой выбрать нужную конфигурацию в списке Стандартная конфигурация на заглавной странице. В контексте статьи это пункт RADIUS-сервер для подключений удаленного доступа или VPN, запустится очередной мастер. Самый важный шаг – правильный выбор позиции в списке Способ сетевого подключения (Network Connection method). В нашем случае “Подключение к виртуальной частной сети (VPN)”, в поле внизу вводим его имя. Затем следует указать расположение RADIUS клиентов (серверов сетевого доступа). После чего переходим к выбору методов аутентификации. По умолчанию здесь активирован только MS-CHAPv2, его отключаем и отмечаем флажок “Расширенный протокол проверки подлинности (EAP)” и в списке Введите “Microsoft сертификат или смарт-карта” и нажав кнопку Настроить выбираем из списка сертификат. На следующем шаге указываем группы пользователей, которые будут участвовать в соединении через VPN. Настройки RRAS позволяют ограничить тип отправляемого/получаемого трафика, все они настраиваются на шаге “Задайте IP-фильтры”. Далее выбор механизма шифрования. Из трех вариантов представленных в списке, лучше всего оставить один MPPE 128 бит, который поддерживается всеми современными ОС. Настройки на шаге “Укажите имя Сферы” позволяют подменять имя домена учетной записи указанным значением. Это все настройки. Подтверждаем нажатием кнопки Готово.
Более тонко политики доступа задаются уже в отдельных меню. В результате своей работы мастер сгенерирует три вида политик: запросов на подключение, сетевые и работоспособности. Выбираем в каждой созданную политику и проверяем свойства.

Подключение клиентом

Теперь сервер готов подключению клиентов. Настройка клиентской части как в Windows Server 2008 R2, так и Windows Vista и 7 практически совпадает и очень проста. Документация Microsoft советует вначале настроить PPTP соединение, получить и установить сертификат сервера, и если все в порядке, переходить уже на L2TP или SSTP. Будем придерживаться этой рекомендации. Для создания VPN вызываем Центр управления сетями и общим доступом и запускаем мастера по ссылке Настройка нового подключения или сети. Расписывать его смысла не вижу, в процессе выбираем аутентификацию при помощи смарт-карт или сертификата. Тип VPN настраивается в окне свойств соединения и во вкладке Безопасность в списке Тип VPN (Type of VPN). По умолчанию режим установлен в Автоматически, но в большинстве случаев его лучше зафиксировать, указав конкретный протокол, например SSTP (Secure Socket Tunneling Protocol).

Свойства VPN-соединения


В доменной среде сертификат сервера на клиентскую систему будет установлен автоматически, иначе следует сделать это вручную. Нужный сертификат сервера (их может быть несколько) для установления соединения выбирается по нажатию кнопки Свойства в окне Безопасность. Просто отмечаем флажком сервер и сертификат.

***

Таким образом, мы настроили VPN подключение между сервером и клиентской системой. Весь процесс выполняемый при помощи мастеров очень прост, единственная тонкость здесь – управление сертификатами.

Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Сервер с ролью RRAS, должен обязательно иметь две сетевые карты. Это не совсем верное утверждение. Для установки данной роли необходима одна сетевая карта. Для ее установки потребуется выбрать особую конфигурацию. Статья отличная. Однако с некоторыми добавлениями и изменениями можно создать ифраструктуру с 2-х факторной аутентификацией (используя, например, eToken).

Оставить комментарий

(required)

(required)