Érvek az ISA2004 mellett II.
2004/11/15 10:44
495 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
ISA 2000 szerverünk van és elégedetlenek vagyunk? Éppen a frissítést fontolgatjuk? Ideje megismerni az új változatot? Ebből a cikksorozatból választ kaphatunk néhány kérdésre.

Az e cikkben felsorolt újdonságok
1. Önálló VPN kiszolgáló megoldás
2. IPSec tunnel használata a "site to site" VPN-nél
3. PPTP VPN Server publikálás

1. Önálló VPN kiszolgáló megoldás
Az ISA2000 és az RRAS integritása a VPN kiszolgálás témakörében kellemes meglepetés volt. Viszonylag egyszerűen volt lehetséges engedélyezni, azaz a RRAS-t automatikusan beállítani és a csomagszűrőket elkészítettni az ISA2000 VPN szerver varázslójával. Azonban a részletes beállításokhoz, valamint a felhasználói engedélyek kezeleséhez továbbra is, több helyen is konfigurálnunk kellett, nem is beszélve az általában telephelyek összekötésére használt "site to site" VPN kapcsolatok beállításáról, amelyet szinte teljesen az RRAS-ban hangoltunk. A lehetőségeink bővültek mert az ISA2004-gyel már felhasználó/csoport, protokoll és site alapú bevatkozást egyaránt végezhetünk, egy többlépcsős varázsló segítségével.
A VPN-nel kapcsolatban szinte egyetlen kifogás szokott felmerülni, mégpedig az, hogy amennyiben valaki ezen keresztül lát be a hálózatunkban, akkor elvileg "mindent lát", azaz gond nélkül elérheti a különböző szervereket, munkaállomásokat, szolgáltatásokat, pontosan úgy mintha a belső hálózaton lenne. Persze nem lesz rendszergazda jogosultságú, de azért ez a szituáció kissé rizikós, mert a szigorítások, pl. a Csoportházirend hatásai viszont nem érvényesülnek rá valamint - szemben a benti gépeinkkel - lehetséges, hogy nincs az otthoni gépen virusirtó, tűzfal, ads "gyilkoló" program stb. Azaz megkapja a belső hálózat előnyeit, anélkül, hogy a megelőző illetve védekező megoldások meglennének vagy legalább ezek létéről meggyőződtünk volna.
Persze a hardveres tűzfalakhoz hasonlóan készíthetünk ún. RRAS filtereket, amellyel korlátozhatjuk a VPN felhasználókat, konkrétan úgy hogy bizonyos gépeket pl. ne érhessenek el, de ezekkel az a baj, hogy minden VPN kapcsolatra egyaránt érvényesek, azaz pl. ránk, mint rendszergazdákra is. De az új ISA ennél többet tud, méghozzá két különböző területen is. Az egyik a korábban már említett rugalmas felhasználó/csoport rendezés, amellyel meg tudjuk oldani, hogy egy általunk kreált csoport egyedül csak a pl. a belső Exchange szervert érje el, adott protokollal, és más géphez ne legyen jogosultsága. Ehhez a létre kell hoznunk egy csoportot, a csoportba tagokat kell helyeznünk, majd egy tűzfal szabállyal beállíthatjuk az elérni kívánt gépet, a protokollt, esetleg az engedélyezett idő intervallumot is. VPN esetén a VPN Clients hálózatra kell érvényesítünk a szabályt, így az e "hálózatból" érkező kérések a kritériumaink alapján fognak csak érvényesülni. Az általunk kreálható tűzfal csoportok (szemben az eddig legfelsővel) egyébként háromféle névtérből származhatnak:
- Windows Users and Groups (helyi vagy az AD-ből)
- jöhetnek egy RADIUS névtérből (akár más platformról is)
- vagy az RSA Secure ID névtérből.
A bal alsó sarok az igazán érdekes… A másik, ennél lényegesen komplexebb terület a VPN karantén, amelyet a Windows Server 2003 is ismer, de immár az ISA2004-ből is konfigurálhatjuk a bejövő VPN kapcsolatok ellenőrzésére. Részletekbe itt nem nem mennék bele, ez a téma magában megérne akár egy többrészes sorozatot is, hiszen elég sokrétű és bonyolult. Tömören arról van szó, hogy létezik egy olyan eszközünk, amellyel az összes kliensoldali DUP/VPN tulajdonságot egy .exe állományba tehetjük, megkönnyítve ezzel a otthoni/utazó felhasználó életét, hiszen ekkor csak futtatnia kell az általunk készített alkalmazást, amely legyártja a DUP/VPN kapcsolat összes beállítását. Ez a CMAK (Connaction Manager Administration Kit), amelybe tehetünk olyan szkripteket, melyek ellenőrzik pl. hogy van a betárcsázó gépen virusirtó, be van-e kapcsolva a személyi tűzfal, stb. Amennyiben nem felel meg a betárcsázó gép a kritériumoknak, akkor a behívás megszakad, azaz nem fogjuk beengedni a hálózatunkba.

2. IPSec tunnel használata a "site to site" VPN-nél
A "site to site" VPN két tetszőleges hálózat közötti állandó vagy igény szerinti VPN kapcsolatot jelent, amikor a két belső hálózat kölcsönösen elérheti egymást a két ISA szerveren keresztül. Az igény szerinti (on-demand) ebben az esetben azt jelenti, hogy amikor egy kérés indul az egyik hálózatból a másikba, akkor automatikusan, bevatkozás nélkül pár másodperc alatt felépül a kapcsolat, és használhatóvá válik az elérés. Az ISA2000 is tudta már ezt, de csak PPTP és L2TP típusú VPN kapcsolattal. Az ISA2004 már IPSec alagútat is létrehozhatunk, minimális erőfeszítéssel és tanúsítványkiadó infrastruktúra nélkül, az ún. PSK (Pre-Shared Key) megoldás segítségével, ami egy mindkét oldalon használt, erős titkosítással rendelkező jelszó kicsérélése után épülhet fel. Azért is hasznos ez a megoldás, mert ha az egyik oldalon egy hardveres tűzfalra vagy külső (third-party) tűzfalra épül a VPN kapcsolat, akkor valószínűleg nagyobb az esélyünk, hogy IPSec-en keresztül tudunk kapcsolódni, mint pl. a tanúsítvány köteles L2TP-vel.

3. PPTP VPN Server publikálás
Előfordulhat az, hogy az ún. "back to back" konfigurációba rakjuk az ISA szervereket, azaz két ISA-nk van és ezek között működik a DMZ, az internet felé néző szerverekkel. Ebben az esetben a bejövő - a belső hálózat felé igyekvő - VPN kapcsolatok útja kicsit problematikus, hiszen meg kell oldanunk, hogy a külső ISA átirányítsa a belső ISA-nak a VPN forgalmat. Ezt általában egy második (a két ISA közötti) VPN alagúttal ("tunnel in tunnel") meg lehet oldani, de az ISA2004 megoldása elegánsabb és egyszerűbb. Ugyanis immár publikálhatjuk a belső VPN szervert, ugyanúgy, mint egy bármilyen más szerver szolgáltatást. Az újraírt PPTP filter támogatja a be- és kifelé irányuló VPN kapcsolatokat, így egyszerúen lehetséges továbbítani a belső ISA felé a VPN forgalmat.

Folytatjuk...

Gál Tamás
gtamas@tjszki.hu

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
All you need is code Minden a kódolás tanulásához
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek