VPN karantén
2005/08/31 23:36
4424 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A Windows Server 2003 platformon futó ISA Server 2004 korrekt lehetőséget ad tűzfal-hozzáférési szabályok és az ún. VPN-karantén alkalmazására, amelyekkel szigorú hozzáférés-ellenőrzés alkalmazható a VPN-en keresztül kapcsolódó számítógépekre.

Bevezetés

A karantén kissé rosszemlékű szó. Nekem mindig Rejtő Jenő egyik nagyszerű könyve ugrik be erről a kifejezésről:

"A karanténban lehorgonyzott járművekre egy kis őrhajó felügyel, amely háromóránként kifut a tengerre, és sorra veszi a járműveket. Az őrök errefelé kérdezés nélkül lőnek, akár a partról, akár a tenger felől közeledik valaki." (Rejtő Jenő: Az elveszett cirkáló).

Ám egy ideje már valami más, lényegesen földhözragadtabb téma is beugorhat minden üzemeltetőnek e kifejezéssel kapcsolatban. Pontosabban főleg azoknak, akik hozzáférést adnak azoknak az otthoni/utazó felhasználóiknak, akik nyilvános hálózaton keresztül férnek hozzá a cég belső hálózatához. Ha nem csak levelezésről, OWA-ról van szó, akkor célszerű VPN segítségével csatlakozniuk, hiszen maga a csatlakozás és a "csőben zajló" kommunikáció is biztonságos, ráadásul viszonylag egyszerűen megvalósítható mindkét oldalon illetve könnyen is szabályozható (többféle protokoll, házirendek, névfeloldás, stb.).
De van egy súlyos hátránya is, mert bár a VPN ügyfél a sebességet leszámítva úgy érzi ugyan, mintha benti hálózatban dolgozna, és ennek szerfölött örül(het) is, ám mi viszont igen rosszul érezhetjük magunkat, és szomorúak vagyunk: ti. nem hat rá semmilyen biztonsági óvintézkedés, ami bent megszokott.

Nincs pl. központilag kötelezően bekapcsolt tűzfala, nincsenek csoportházirendből érvényesülő megszorítások, nincs központi helyről automatikusan frissülő, víruspajzzsal ellátott víruskereső, nincs a rendszergazda által feltelepített, háttérban settenkedő antispyware program. Ezen kívül fogalmunk sincs, honnan kapcsolódik, és mi minden van a feltelepítve a gépére, és még sorolhatnánk. Viszont bent van a hálózatban, terjesztheti a kártevőket, lehet rajta akár több vírus/spyware szóró automata, meg spéci SMTP szerver, futtathat bármit (akár a tudta nélkül is), hiszen egy átlagos felhasználótól nem várható el (vagy ha igen, akkor se) h odafigyeljen ezekre, a dolgokra. Ez így viszont nem túl ésszerű, hiszen hogy védjem meg a hálózatomat, ha egyrészt adni akarok (muszáj) lehetőséget a távoli munkára, hozzáférésre, de a másik kezemmel meg olyat engedek meg, amit a belső hálózaton a legnagyobb jókedvemben, a legtöbb kólát/sört/hamburgert/pizzát hozó júzernek sem? Pedig így van, ez a dolog benne van a pakliban.

De azért van némi gyógyír,

és ez pedig a VPN karantén, amelyet már az ISA 2004 előtt is kipróbálhattunk, hiszen a Windows Server 2003 a Resource Kit Tools-sal és az RRAS-sal felturbózva kínál egy megoldást. Ám az ISA 2004-gyel mégis komplexebb (nemcsak port- és időtartamszűrő) és mégis egyszerűbb módszerhez jutottunk, ezért ebben a cikksorozatban főképp ezt a módszert vizsgáljuk meg. Természetesen nem tökéletes és hibátlan ez a technológia sem, de erről majd később lesz bővebben szó. A cikk kifejezetten gyakorlati szempontból közelít a témához, méghozzá 4 fő részre szelve azt.

  • Előkészületek és működés
  • Karantén beállítása az ISA szerveren
  • Profil létrehozása a Connection Manager Administration Kit-tel (Csatlakozáskezelő felügyeleti csomag)
  • Profil kijuttatása az IIS/ISA párossal, illetve némi kliens oldali teendő

Tehát először essen pár szó a karantén létrehozásának feltételeiről és működésének alapjairól.

Előkészületek

Nincs szükség különleges előkészületekre, és elvileg még a Windows Server 2003 sem szükséges, mivel az ISA 2004 lényegében "hozza" a szolgáltatást (igaz, a Windows 2003 Resource Kit Tools telepíthető, de a szükséges szerviz telepítése sikerült, tovább viszont nem mentem ebben a környezetben). A Windows Server 2003 SP1 az ISA 2004-es megvalósítás esetén sem életbevágó feltétel, önmagában való alkalmazása esetén viszont kifejezetten hasznos, hiszen az SP1 telepítése után már külön szkript nélkül (lásd később) is megoldható a VPN kapcsolat megtagadása, ha a kliensen nincsenek telepítve a legújabb biztonsági frissítések.

Fontos elem viszont a Windows 2003 Resource Kit Tools, pontosabban a következő 4 komponense:

  • Rqs.exe: Remote Quarantine Server
  • Rqc.exe: Remote Quarantine Client
  • Rqs_setup.bat: a Remote Access Quarantine Agent szerviz telepítője/beállítója (a szerveren)
  • RqsMsg.dll: Remote Access Quarantine Agent Message DLL

Ezzel kapcsolatban felhívnám a figyelmet arra, hogy a Resource Kit Tools kiadása óta frissítették az rqs.exe-t, amelyet a Resource Kit telepítése után (de csak ekkor) tudunk feltelepíteni, és célszerű is, mert a Microsoft ajánlása szerint az új ISA-hoz ez kell. A kliensekről még nem beszéltünk, viszont bőven nem is kell, Windows 2000-től felfelé a kliens és szerver Windows-ok egyaránt alkalmasak erre a feladatra. Természetesen egy korrekt, működő VPN szerverre is szükség van, ISA 2004 alatt ez egyszerűen megoldható, ám erről itt most nem lesz szó, Tom Shinder viszont részletesen kifejti.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE program Program iskoláknak a bullying ellen
Jövő osztályterme Modern tanulási környezetekről a Sulineten