VPN karantén II.
2005/08/31 23:49
3402 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
Windows Server 2003 + ISA Server 2004 környezetben

Hogy működik?

Eddig kiderült, hogy a Resource Kit ad két fontos komponenst, azaz a karantén ellenőrzési módszerének lényegi elemeit. E módszer szerint, amikor a speciálisan felturbózott VPN kliens csatlakozik, akkor az ISA beengedi, de egyelőre elkülöníti a Quarantined VPN Clients "hálózatba". Ekkor kezdődik az érvényesítés, azaz annak/azoknak a feltételnek/feltételeknek a lekérdezése, amelyet megkövetel(het)ünk a VPN klienssel szemben. Néhány példa erre, jellemző "kérdések" zárójelben: Külön hálózata van a VPN-Q klienseknek

  • tűzfal (be van-e kapcsolva?)
  • ICS (ki van-e kapcsolva?)
  • javítócsomagok (fent vannak-e a legfrissebbek?)
  • víruskereső (van-e? az adatbázis friss-e?)
  • jelszó (elég komplex-e?)
  • jelszavas képernyővédő (van-e?)
  • stb., igény és persze programozói tudásszint szerint

A gyakorlatban ezeknek a feltételeknek a lekérdezője/figyelője az Rqs.exe a szerveren, a megvizsgáló/küldő pedig az Rqc.exe a kliensen. Ha a feltételeknek megfelel a kliens, akkor az utóbbi egy speciális (ún. SIGNATURE) sztringet küld a szervernek és ezután az ISA 2004 kiemeli a karanténból és behelyezi a szimpla VPN kliensek közé. De hogy kerül a kliensre pl. az Rqc.exe, hogy és hol fut le az ellenőrzés? Mi alapján ellenőriz? Ezekre a kérdésekre a válasz a CMAK, amely egy jó sok (kb. 20) lépésből álló szerveroldali varázsló. A varázslás során elkészítünk majd egy ún. CM (Connection Manager) profilt, amely egy .exe csomag, és amely magába foglalja a VPN-Q klienst, az általunk legyártott ún. "post-connect" ellenőrző szkripteket (.vbs, .cmd, .exe, .bat), az esetleges nyelvi válaszfájlokat és minden mást, amit le kívánunk küldeni a kliens gépre. Valamilyen úton-módon aztán lekerül (pl. letölti a delikvens a dedikált weboldalunkról), majd elindítja. A csomag a telepítés után rögvest bekéri a felhasználónevet/jelszót, csatlakozni próbál és siker esetén máris bekerül a karanténba. Így kerek a művelet.

Karantén beállítása az ISA szerveren

Tehát fussunk neki végre a gyakorlati tennivalóknak, magán a VPN szerveren, ami a mi esetünkben értelemszerűen az ISA Server 2004. Miután feltelepítettük (és az RQS frissítést is), navigáljunk el parancssorban a Resource Kit Tools mappájába!

C:Program FilesWindows Resorce KitsTools

Használjuk a következő parancsot a "Remote Access Quarantine Agent" szerviz telepítésére és beállítására.

Rqs_setup /install

Ezután a Computer Management MMC-ben a frissen kisütött szolgáltatás induló értékét automatikusról kézire állítsuk át (később lesz értelme).

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE program Program iskoláknak a bullying ellen
Jövő osztályterme Modern tanulási környezetekről a Sulineten