Главная | Контакты | Настройки СМЕНИТЬ ПАЛИТРУ:

Главная > Интернет > Безопасность

Поддержка входа в систему с помощью смарт-карт для VPN-подключений удаленного доступа

Опубликовано 16 января 2007 г.
Содержание:
  • Введение
  • Технологии смарт-карт
  • Вход в систему с помощью смарт-карт для VPN-сценария удаленного доступа
  • Аннотация
  • Введение

    Прогресс в области технологий связи, вызванный необходимостью снижения затрат при сохранении конкурентоспособности на расширяющемся рынке, позволяет организациям не только поддерживать каналы связи 24 часа в сутки и семь дней в неделю, но также обеспечивать возможность удаленного подключения к деловым данным и услугам.

    Интернет предоставляет организациям и физическим лицам возможность использования компьютеров для обмена данными по всему миру, обеспечивая такие преимущества, как доступность, масштабируемость, производительность и уменьшение затрат на ведение бизнеса. Однако Интернет представляет собой небезопасную среду, которая может оказаться враждебной для работающих в нем организаций. Проблема для организаций заключается в том, чтобы использовать все преимущества, предоставляемые Интернетом, при сохранении необходимого уровня безопасности данных и каналов связи.

    Виртуальные частные сети (VPN) позволяют организациям использовать Интернет, ограничивая при этом доступ к данным и каналам связи. Для реализации такой возможности в данной технологии используется ряд защитных функций, включая надежные механизмы проверки подлинности и шифрования.

    Для кого предназначено это руководство

    Данное руководство ориентировано на профессионалов в сфере информационных технологий (ИТ), ответственных за развертывание службы VPN в своих сетевых средах.

    Сведения, приведенные в данном руководстве, относятся к малым и средним организациям, желающим получить надежный удаленный доступ к своим сетям.

    Обзор

    При настройке удаленного VPN-доступа к своим сетевым ресурсам можно использовать те же учетные данные, что и при доступе к сети на работе: сетевое имя пользователя и пароль. Однако такое решение не является самым безопасным. В частности, имена пользователей часто содержатся в визитных карточках и документации. Они также уязвимы для атак методом перебора. Если посторонние узнают ваше имя пользователя, пароль останется единственным механизмом безопасности, защищающим корпоративную сеть.

    Отдельные секреты, например пароли, могут быть эффективными механизмами безопасности. Длинный пароль, состоящий из случайных букв, цифр и специальных знаков, крайне трудно взломать. Кроме того, идентификационные фразы обеспечивают лучшую безопасность, чем одиночные пароли.

    К сожалению, пользователи не всегда могут запомнить сложные пароли и часто записывают их на бумагу. При отсутствии ограничений на сложность пароля пользователи стремятся к созданию простых для запоминания паролей, которые, следовательно, легко угадать.

    Решения на основе имени пользователя и пароля считаются однофакторными, поскольку для доступа к сети используется только что-то известное. Системы многофакторной проверки подлинности устраняют недостатки однофакторной проверки подлинности благодаря сочетанию требований, включающих в себя:

    • Что-либо известное пользователю, например пароль или персональный идентификационный номер (ПИН-код).
    • Что-либо принадлежащее пользователю, например аппаратный маркер или смарт-карта.

    Что-либо являющееся неотъемлемой особенностью пользователя, например отпечаток пальца или сканированное изображение сетчатки.

    Смарт-карты и связанные с ними ПИН-коды становятся все более популярной, надежной и экономичной формой двухфакторной проверки подлинности. Пользователи должны иметь при себе смарт-карты и знать свой ПИН-код для получения доступа к сетевым ресурсам. Требование двух факторов значительно уменьшает вероятность несанкционированного доступа к сети организации.

    Преимущества VPN

    Если организации требуется подключаться к сетям, которые содержат секретные и частные данные, используя для удаленного доступа Интернет, продолжительное подключение представляет собой серьезную угрозу безопасности.

    В потенциально враждебной среде Интернета использование решения на основе VPN становится обязательным, поскольку оно не только позволяет сократить накладные расходы, но и помогает поддерживать уровень безопасности, характерный для частной сетевой инфраструктуры. Решение на основе VPN обеспечивает безопасность, поскольку в нем используется безопасное туннельное подключение, шифрование данных, а доступ к корпоративной сети предоставляется только пользователям, прошедшим проверку.

    VPN поддерживает широкий диапазон методов проверки подлинности, протоколов туннелирования и технологий шифрования для поддержания безопасности деловых данных.

    Ниже перечислены методы проверки подлинности VPN.

    • Протокол проверки подлинности пароля (PAP).
    • Протокол проверки пароля (CHAP).
    • Протокол проверки пароля Microsoft® Challenge-Handshake Authentication Protocol (MS-CHAP).
    • MS-CHAP версии 2 (MS-CHAP v2).
    • Протокол расширенной проверки подлинности (EAP).

    Протоколы туннелирования VPN включают в себя:

    • Протокол туннелирования между узлами (PPTP).
    • Сетевой протокол туннелирования канального уровня (L2TP).

    Ниже перечислены протоколы шифрования VPN.

    • Шифрование Point-to-Point Microsoft (MPPE).
    • Протокол IPsec.

    Для поддержки самого широкого диапазона клиентских операционных систем корпорации Майкрософт используйте протоколы MS-CHAP, PPTP и MPPE.

    При использовании Microsoft Windows® 2000 или более поздней версии можно обеспечить больший уровень безопасности, используя EAP, L2TP и IPsec.

    Дополнительные сведения о проверке подлинности, туннелировании и шифровании VPN см. в информационном документе «Виртуальные частные сети: обзор» на веб-узле Microsoft TechNet по адресу www.microsoft.com/technet/prodtechnol/windows2000serv/plan/vpnoverview.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    К началу страницы

    Технологии смарт-карт

    Смарт-карты обеспечивают двухфакторную проверку подлинности. Двухфакторная проверка подлинности представляет собой шаг вперед по сравнению с простым сочетанием имени пользователя и пароля и требует от пользователя предъявления уникального маркера определенного вида и ПИН-кода.

    Смарт-карты — это пластиковые предметы размером с кредитную карту, содержащие микрокомпьютер и небольшое количество памяти. Они выступают в качестве безопасного, защищенного от неумелого обращения хранилища секретных ключей и сертификатов безопасности X.509.

    Для выполнения проверки подлинности на компьютере или через подключение удаленного доступа пользователь вставляет смарт-карту в устройство чтения и вводит свой ПИН-код. Пользователь не может получить доступ к сети, используя только ПИН-код или только смарт-карту. Расширенные атаки методом прямого подбора ПИН-кода смарт-карты невозможны, поскольку смарт-карта блокируется после определенного количества безуспешных попыток ввода правильного ПИН-кода.

    Смарт-карты снабжены встроенными операционными системами и файловыми системами, позволяющими хранить данные. Операционная система смарт-карты должна быть способна выполнять перечисленные ниже задачи.

    • Хранить открытый и секретный ключ пользователя.
    • Хранить сертификат открытого ключа.
    • Загружать сертификат открытого ключа.
    • Выполнять операции с секретным ключом от имени пользователя.

    Дополнительные сведения о смарт-картах и список поддерживаемых корпорацией Майкрософт устройств чтения смарт-карт см. в разделе «Смарт-карты» на веб-узле Microsoft TechNet по адресу www.microsoft.com/technet/security/topics/identitymanagement/scard.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Требования к внедрению смарт-карт

    Для поддержки входа в систему с помощью смарт-карт для VPN-подключений удаленного доступа, в компьютере должны иметься определенные аппаратные и программные компоненты.

    Дополнительные сведения о спецификациях и требованиях для внедрения смарт-карт см. в статье «Руководство по планированию безопасного доступа с помощью смарт-карт» на веб-узле Microsoft TechNet по адресу www.microsoft.com/technet/security/topics/networksecurity/securesmartcards/
    default.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Требования к клиентскому оборудованию для смарт-карт

    Для поддержки решений в области VPN на основе смарт-карт требуется наличие у пользователей компьютера, на который можно установить Windows XP.

    Кроме того, требуется, чтобы к компьютеру через стандартный интерфейс (например последовательный порт RS-232, PS/2, PC Card или USB) было подключено устройство чтения смарт-карт.

    Требования к программному обеспечению для смарт-карт

    Для поддержки решения в области VPN на основе смарт-карт требуется, чтобы у клиентов удаленного доступа была установлена Windows XP. Кроме того, рекомендуется установка пакета обновления 2 (SP2).

    На каждом клиентском компьютере требуется установить поставщик служб шифрования (CSP), поддерживающий выбранный тип смарт-карты. В состав Windows XP входит поставщик CSP, поддерживающий большое количество решений на основе смарт-карт. Кроме того, поставщик решения на основе смарт-карт может предоставить собственный поставщик CSP. CSP выполняет перечисленные ниже функции.

    • Криптографические функции, включая цифровые подписи.
    • Управление закрытыми ключами.
    • Безопасный обмен данными между устройством чтения смарт-карт на клиентском компьютере и смарт-картой.

    На каждом клиентском компьютере необходимо установить драйверы устройства для конкретного устройства чтения смарт-карт. Драйверы устройств отображают функциональность устройства чтения на внутренние службы, предоставляемые Windows XP и инфраструктурой смарт-карт. Драйвер устройства чтения смарт-карт обрабатывает события вставки и извлечения карты и обеспечивает связь с картой.

    Диспетчер подключений является стандартным компонентом Windows XP, предназначенный для установки и управления подключениями по сети, модему и через VPN. Кроме того, для настройки профилей диспетчера подключений и создания предоставляемого клиентам файла установки, автоматически настраивающего VPN-подключение, можно использовать пакет администрирования диспетчера подключений (CMAK).

    Внедрение смарт-карт может включать установку на стороне клиента управляющего программного обеспечения. Это программное обеспечение включает средства обеспечения управления, подключения и безопасности смарт-карт, позволяющие просматривать содержимое смарт-карт, сбрасывать ПИН-коды и добавлять дополнительные сертификаты.

    Требования к оборудованию VPN-сервера

    VPN-подключения увеличивают загрузку процессора на сервере удаленного доступа. Вход в систему с помощью смарт-карты не вносит существенного вклада в эту загрузку. VPN-серверы удаленного доступа, обслуживающие большой объем входящих подключений, требуют использования быстрых процессоров (желательно в многопроцессорной конфигурации), а также поддержки высокой пропускной способности сети. Организации, использующие VPN-подключения на основе протокола IPsec, могут установить сетевые платы, переносящие процесс шифрования IPsec на отдельный процессор, расположенный на сетевой плате.

    Требования к программному обеспечению VPN-сервера

    Требования к программному обеспечению VPN-сервера для доступа на основе смарт-карт довольно просты. На серверах удаленного доступа должна использоваться ОС Windows 2000 Server или более поздняя версия с включенной поддержкой маршрутизации и удаленного доступа и поддержкой EAP-TLS.

    EAP-TLS представляет собой механизм взаимной проверки подлинности, разработанный для использования совместно с устройствами безопасности, например смарт-картами и аппаратными маркерами. EAP-TLS поддерживает подключения по протоколу PPP (Point-to-Point Protocol) и VPN и позволяет обмениваться общими секретными ключами для MPPE в дополнение к IPsec.

    Основными преимуществами EAP-TLS являются устойчивость к атакам методом прямого подбора паролей и поддержка взаимной проверки подлинности. При взаимной проверке подлинности как клиент, так и сервер должны подтвердить друг другу свои учетные данные. Если клиент или сервер не отправит сертификат для проверки своих учетных данных, подключение будет прервано.

    Microsoft Windows Server™ 2003 поддерживает EAP-TLS для коммутируемых и VPN-подключений, что позволяет использовать смарт-карты удаленным пользователям. Дополнительные сведения о EAP-TLS см. в разделе «Протокол расширенной проверки подлинности (EAP)» по адресу www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/auth_eap.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Дополнительные сведения о требованиях к сертификату EAP см. в статье базы знаний Майкрософт «Требования к сертификату при использовании EAP-TLS или PEAP совместно с EAP-TLS» по адресу http://support.microsoft.com/default.aspx?scid=814394 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Необходимые требования к сетевой инфраструктуре при внедрении смарт-карт

    Использование смарт-карт требует наличия соответствующей инфраструктуры с поддержкой со стороны операционной системы и элементов сети. Перед тем как начать процесс внедрения смарт-карт, обратите внимание на необходимость наличия перечисленных ниже компонентов.

    • Требования к пользователям.
    • Инфраструктура открытых ключей (PKI).
    • Шаблоны сертификатов.
    • Служба каталогов Active Directory®.
    • Группы безопасности.
    • Станции подачи заявок и агенты подачи заявок.

    Требования к пользователям

    Определение пользователей и групп, которым требуется доступ через VPN, является важной составляющей процесса внедрения смарт-карт. Определите эти учетные записи на раннем этапе процесса внедрения, чтобы определить рамки проекта и затраты на управление.

    Инфраструктура открытых ключей (PKI)

    Решения на основе смарт-карт требуют наличия инфраструктуры открытых ключей для предоставления сертификатов с парами «открытый ключ - секретный ключ», позволяющих осуществлять сопоставление учетных записей в Active Directory. Инфраструктуру открытых ключей можно реализовать двумя способами: путем предоставления внутренней инфраструктуры сертификатов внешней организации или через использование служб сертификации в Windows Server 2003. Для использования служб сертификации в Windows Server 2003 в решении на основе смарт-карт требуется, чтобы центр сертификации (CA) находился в ведении предприятия, что требует наличия Active Directory.

    Дополнительные сведения о службах сертификации в Windows Server 2003 см. на веб-узле «Инфраструктура открытых ключей для Windows Server 2003» по адресу www.microsoft.com/windowsserver2003/technologies/pki/default.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Инфраструктура открытых ключей должна иметь механизм отзыва сертификата. Отзыв сертификата необходим при истечении срока действия сертификата или при возможном нарушении безопасности сертификата злоумышленником. Отзывая сертификат, администратор запрещает доступ каждому, кто использует этот сертификат. Каждый сертификат содержит данные о местоположении списка аннулированных сертификатов (CRL).

    Дополнительные сведения об управлении отзывом сертификатов см. в разделе «Управление отзывом сертификатов» на веб-узле Microsoft TechNet по адресу http://technet2.microsoft.com/WindowsServer/en/library/92a5e655-3eb2-4843-b9cb-58c84c0a91d61033.mspx?mfr=true (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Инфраструктура открытых ключей используется для назначения сертификата каждой смарт-карте в решении на основе VPN. Центр сертификации, которому доверяет VPN-сервер, должен выпустить сертификат. При использовании служб сертификации в Windows Server 2003 убедитесь в том, что на VPN-сервере установлен корневой сертификат инфраструктуры открытых ключей.

    При использовании взаимной проверки подлинности необходимо назначить VPN-серверу сертификат центра сертификации, которому доверяет клиент. При использовании служб сертификации в Windows Server 2003 убедитесь в том, что на клиенте VPN установлен корневой сертификат инфраструктуры открытых ключей.

    Шаблоны сертификатов

    Windows Server 2003 предоставляет определенные шаблоны сертификатов для выпуска цифровых сертификатов для использования в решениях на основе смарт-карт. Существует три шаблона сертификатов для использования со смарт-картами.

    • Агент подачи заявок — позволяет прошедшему проверку пользователю запрашивать сертификаты других пользователей.
    • Пользователь смарт-карты — позволяет пользователю входить в систему с помощью смарт-карты и подписывать электронную почту. Кроме того, этот сертификат обеспечивает проверку подлинности клиента.
    • Вход в систему с помощью смарт-карты — позволяет пользователю входить в систему с помощью смарт-карты и обеспечивает проверку подлинности клиента, но не позволяет подписывать электронную почту.

    Примечание.   Корпорация Майкрософт настоятельно рекомендует обновить текущую версию инфраструктуры открытых ключей Windows Server 2003 до версии инфраструктуры открытых ключей Windows Server 2003 с пакетом обновления 1 (SP1), чтобы иметь возможность пользоваться улучшенными средствами защиты.

    Для решения на основе VPN необходимо наличие хотя бы одного администратора с сертификатом агента подачи заявок, назначающего сертификаты смарт-картам. Кроме того, на смарт-карты клиентов необходимо будет установить сертификаты на вход в систему с помощью смарт-карт.

    Дополнительные сведения о шаблонах сертификатов см. в разделе «Шаблоны сертификатов» на веб-узле TechNet по адресу http://technet2.microsoft.com/WindowsServer/en/Library/7d82b420-10ef-4f20-a56f-17ee7ee352d21033.mspx?mfr=true (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Active Directory

    Active Directory обеспечивает средства управления идентификаторами и отношениями, образующими сетевые окружения, и является ключевым компонентом для внедрения решений на основе смарт-карт. Active Directory в Windows Server 2003 имеет встроенную поддержку для принудительного входа в систему с помощью смарт-карт и возможность сопоставления учетных записей сертификатам. Возможность сопоставления учетных записей сертификатам устанавливает привязку секретного ключа на смарт-карте сертификату, хранящемуся в Active Directory.

    При назначении агентом подачи заявок сертификата смарт-карте для определенного пользователя процесс сопоставляет сертификат учетной записи пользователя в Active Directory. Представление учетных данных смарт-карты при входе в систему требует, чтобы Active Directory сопоставляла определенную карту с учетной записью пользователя, предоставляющей пользователю соответствующие разрешения и возможности в сети.

    Дополнительные сведения о сопоставлении сертификатов см. в разделе «Сопоставление сертификатов с учетными записями пользователей» на веб-узле Microsoft TechNet по адресу www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dssch_pki_cyek.asp (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Дополнительные сведения об Active Directory см. на странице Active Directory Windows Server 2003 по адресу www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/
    default.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    Группы безопасности

    Процесс внедрения и управления смарт-картами значительно упрощается при использовании для организации пользователей групп безопасности в Active Directory. Например, в типичном случае внедрения смарт-карт требуется создать перечисленные ниже группы безопасности.

    • Агенты подачи заявок на смарт-карты Агенты подачи заявок на смарт-карты отвечают за распространение смарт-карт среди пользователей.
    • Группа промежуточного хранения смарт-карт Группа промежуточного хранения смарт-карт содержит всех пользователей, получивших смарт-карты, но для которых агент подачи заявок еще не подал заявку и не активировал их карты.
    • Пользователи смарт-карт Группа пользователей смарт-карт содержит всех пользователей, завершивших процесс подачи заявки и активировавших смарт-карту. Агент подачи заявок перемещает пользователя из группы промежуточного хранения смарт-карт в группу пользователей смарт-карт.
    • Группа временных исключений смарт-карт Группа временных исключений смарт-карт предназначена для пользователей, для которых требуется временное исключение требования смарт-карты (например, в случае потери смарт-карты или если смарт-карта забыта).
    • Группа постоянных исключений смарт-карт Группа постоянных исключений смарт-карт включает учетные записи, для которых требуется постоянное исключение требования входить в систему с помощью смарт-карты.

    Как минимум, для решения на основе VPN требуются группы для агентов подачи заявок и пользователей смарт-карт. Создание этих групп облегчает управление и настройку параметров для большого количества пользователей.

    Станции подачи заявок и агенты подачи заявок

    Для выпуска или регистрации пользователей смарт-карт можно использовать веб-интерфейс, но использовать такой подход не рекомендуется. Поскольку для получения смарт-карт пользователям необходимо ввести имя пользователя и пароль, такой подход снижает безопасность смарт-карт до уровня, характерного для ввода учетных данных в веб-интерфейс. Более предпочтительное решение заключается в создании станций подачи заявок и назначении одного или нескольких администраторов в качестве агентов подачи заявок.

    Типичная станция подачи заявок представляет собой компьютер с устройствами чтения и записи смарт-карт. Устройство чтения смарт-карт позволяет агенту подачи заявок войти в систему, а устройство записи смарт-карт позволяет выпускать новые смарт-карты для пользователей. На станции подачи заявок групповая политика настроена таким образом, чтобы осуществлять принудительный выход из системы при изъятии агентом подачи заявок своей смарт-карты.

    Назначенный администратор исполняет роль агента подачи заявок и использует свою смарт-карту для входа в систему на станции подачи заявок. Затем он открывает веб-страницу служб сертификации, проверяет учетные данные пользователя, регистрирует его и выпускает зарегистрированную смарт-карту. Агенты подачи заявок должны иметь сертификат агента подачи заявок и разрешение на доступ к шаблонам сертификатов.

    Рекомендации по работе

    В решении для смарт-карт на основе VPN должна быть предусмотрена возможность наблюдения за его работоспособностью. Средства наблюдения должны отображать сведения, необходимые для обеспечения работоспособности. Если решение не удовлетворяет этому требованию, персонал, ответственный за безопасность, не сможет оценить эффективность обеспечиваемой решением защиты удаленного доступа.

    Ниже перечислены основные рекомендации по работе.

    • Тестируйте проверку подлинности для внутренних приложений Смарт-карта должна влиять только на первоначальный вход в систему. Следует протестировать и проверить возможность успешной проверки подлинности для внутренних приложений с помощью экспериментальной программы.
    • Тестируйте проверку подлинности для внутренних приложений Для успешного устранения неполадок с удаленными клиентами требуется тесное взаимодействие нескольких команд в разных часовых поясах. Тщательное тестирование и грамотное пилотное внедрение помогут сократить количество обращений в службу поддержки.
    • Изучите сценарии удаленного доступа, используемые в организации, и возможные угрозы Необходимо изучить сценарии удаленного доступа, используемые в организации, и возможные угрозы безопасности, а также их взаимосвязь. Необходимо установить более высокий приоритет для тех ресурсов, для которых требуется более высокий уровень защиты и определить оптимальное соотношение между затратами и риском.
    • Заблаговременно учитывайте технические сложности Необходимо заранее учитывать технические сложности, такие как процедуры установки и распространение средств управления смарт-картами. Может потребоваться интегрировать решение на основе смарт-карт в существующие средства управления предприятием.
    • Осуществляйте наблюдение и вовремя устраняйте проблемы с производительностью Необходимо осуществлять наблюдение и устранять проблемы с производительностью, а также зафиксировать ожидания пользователей перед внедрением.
    • Учитывайте наличие личного оборудования Помните, что домашние компьютеры сотрудников являются их частной собственностью и не находятся в ведении ИТ-отдела организации. Если сотрудник не может установить оборудование или программное обеспечение для поддержки удаленного доступа с использованием смарт-карт, то доступны другие варианты. Например, веб-клиент Microsoft Outlook® (OWA) предоставляет сотрудникам доступ к их почтовым ящикам на сервере Microsoft Exchange Server через зашифрованные SSL-соединения.

      Дополнительные сведения о безопасности электронной почты см. в статье из данной серии «Защита конфиденциальности электронной почты в различных отраслях промышленности» по адресу http://go.microsoft.com/fwlink/?LinkId=71176 (эта ссылка может указывать на содержимое полностью или частично на английском языке).
    • Контролируйте изменения в решении Необходимо контролировать все изменения и улучшения, вносимые в решение, используя те же процессы, что и при первоначальном внедрении.
    • Оптимизируйте решение Все аспекты решения на основе смарт-карт нуждаются в периодическом пересмотре и оптимизации. Необходимо постоянно пересматривать процессы подачи заявок и необходимость создания исключений для учетных записей с целью повышения безопасности и целостности.
    К началу страницы

    Вход в систему с помощью смарт-карт для VPN-сценария удаленного доступа

    Описанный в данном разделе процесс настройки входа в систему с помощью смарт-карт для VPN-подключений удаленного доступа рассчитан на компании, относящиеся к малому и среднему бизнесу. На приведенном ниже рисунке показана корпоративная сеть среднего размера; в вашей среде могут использоваться некоторые или все из показанных служб.

    Рис. 1. Удаленный доступ в ИТ-среде среднего размера
    Рис. 1. Удаленный доступ в ИТ-среде среднего размера

    В частности, этот процесс подходит для случаев, когда удаленным пользователям необходим доступ к корпоративным данным из внешних местоположений. Чтобы получить этот доступ, удаленные пользователи создают VPN-подключение к VPN-серверу Windows Server 2003 и используют для проверки подлинности смарт-карты.

    Следующие процедуры помогут подготовить, развернуть и настроить поддержку смарт-карт для VPN-подключений удаленного доступа.

    Подготовка центра сертификации для выпуска сертификатов смарт-карт

    В первую очередь необходимо подготовить центр сертификации для назначения необходимых сертификатов, агентов подачи заявок и входа в систему с помощью смарт-карт.

    Подготовка центра сертификации к выпуску сертификатов смарт-карт

    1. Войдите в систему с учетной записью администратора.
    2. Откройте окно Сайты и службы Active Directory.
    3. Войдите в меню Вид и выберите пункт Показать узел служб.
    4. Раскройте пункт Службы, щелкните пункт Public Key Services (Службы открытых ключей), а затем — пункт Шаблоны сертификатов (см. следующий снимок экрана).
      Сайты и службы Active Directory
    5. Щелкните правой кнопкой мыши шаблон сертификата EnrollmentAgent (Агент подачи заявок) и выберите пункт Свойства.
    6. Добавьте группу безопасности для агентов подачи заявок, созданную перед началом внедрения, и назначьте разрешения на чтение и подачу заявок (см. следующий снимок экрана). Нажмите кнопку ОК.
      Свойства агента подачи заявок
    7. Закройте окно Сайты и службы Active Directory.
    8. Откройте окно Центр сертификации.
    9. Раскройте имя сервера и выберите пункт Шаблоны сертификатов. На правой панели имеется список сертификатов, которые может назначать центр сертификации (см. следующий снимок экрана).

      Центр сертификации
    10. Щелкните правой кнопкой мыши пункт Шаблоны сертификатов, выберите команду Создать и щелкните пункт Выдаваемый шаблон сертификата.
    11. Нажав и удерживая клавишу CTRL, выберите в списке Включение шаблонов сертификатов пункты Агент подачи заявок и Вход со смарт-картой (см. следующий снимок экрана). Нажмите кнопку ОК.

      Включение шаблонов сертификатов
    12. Закройте окно Центр сертификации.

    Развертывание сертификатов на смарт-карты

    Следующим шагом можно назначить сертификаты смарт-картам для удаленных пользователей. Войдите в систему в качестве агента подачи заявок для домена, в котором находится учетная запись пользователя.

    Развертывание сертификатов на смарт-карты

    1. Откройте обозреватель Microsoft Internet Explorer®.
    2. В адресной строке введите адрес центра сертификации, который выпускает сертификаты для входа в систему с помощью смарт-карт, и нажмите клавишу ВВОД.
    3. Щелкните пункт Запрос сертификата, а затем пункт Расширенный запрос сертификата. Появится окно, аналогичное изображенному ниже.

      Службы сертификации корпорации Майкрософт
    4. Щелкните ссылку Запросить сертификат для смарт-карты от имени другого пользователя с помощью станции заявок на сертификаты смарт-карт. Если появится предложение принять элемент управления Microsoft ActiveX®, нажмите кнопку Да. В обозревателе Internet Explorer необходимо включить использование элементов управления ActiveX.
    5. В окне Станция подачи заявок сертификатов смарт-карт (см. следующий снимок экрана) выберите пункт Вход в систему с помощью смарт-карт. Кроме того, должны быть видны имена центра сертификации, поставщика службы криптографии и сертификата подписи администратора. Если не удается выбрать сертификат подписи администратора, значит, вошедшему в систему пользователю не был назначен сертификат агента подачи заявок.

      Станция подачи заявок на смарт-карты корпорации Майкрософт
    6. Выберите из раскрывающегося списка Центр сертификации имя центра сертификации, от которого требуется выпустить сертификат для смарт-карты.
    7. Выберите из раскрывающегося списка Поставщик службы криптографии производителя смарт-карты.
    8. В поле Сертификат подписи администратора введите имя сертификата агента подачи заявок, который будет подписывать запрос подачи заявки, либо щелкните Выбрать сертификат, чтобы выбрать имя.
    9. Щелкните Выбрать пользователя и выберите необходимую учетную запись пользователя. Нажмите кнопку Заявка.
    10. При появлении запроса вставьте смарт-карту в устройство чтения смарт-карт на компьютере и нажмите кнопку ОК. При появлении запроса персонального идентификационного номера (ПИН), введите ПИН-код смарт-карты.

    Настройка VPN-серверов для проверки подлинности с использованием смарт-карт

    Теперь можно приступить к настройке VPN-сервера.

    Настройка службы маршрутизации и удаленного доступа на прием проверки подлинности EAP

    1. Запустите оснастку «Маршрутизация и удаленный доступ».
    2. Щелкните правой кнопкой мыши <имя_сервера>, затем щелкните пункт Свойства и выберите вкладку Безопасность.
    3. Щелкните пункт Методы проверки подлинности.
    4. Установите флажок Протокол расширенной проверки подлинности (EAP) (см. следующий снимок экрана) и нажмите кнопку ОК.

      Свойства DCI (локальные)
    5. Нажмите кнопку ОК.

    Настройка политик удаленного доступа для проверки подлинности с помощью смарт-карт

    Теперь можно включить EAP в политиках удаленного доступа. Компонент «Политики удаленного доступа» включен в оснастку «Маршрутизация и удаленный доступ» по умолчанию. Тем не менее, если установлена служба проверки подлинности через Интернет (IAS) (также известная как служба удаленной проверки подлинности пользователей по коммутируемым линиям или RADIUS), компонент «Политики удаленного доступа» включается в оснастку IAS.

    Включение использования EAP совместно с политиками удаленного доступа

    1. В левой панели окна «Маршрутизация и удаленный доступ» щелкните пункт Политики удаленного доступа.
    2. В правой панели дважды щелкните пункт Подключения к серверу маршрутизации и удаленного доступа. Появится окно, аналогичное изображенному ниже.

      Подключение к серверу маршрутизации и удаленного доступа
    3. Щелкните пункт Изменить профиль, выберите вкладку Проверка подлинности и щелкните пункт Методы EAP (см. следующий снимок экрана).

      Изменение профиля коммутируемых подключений
    4. Если в списке Типы EAP не появится элемент Смарт-карта или иной сертификат, как показано на следующем снимке экрана, нажмите кнопку Добавить, щелкните пункт Смарт-карта или иной сертификат и нажмите кнопку ОК.

      Выбрать поставщиков EAP
    5. Выберите пункт Смарт-карта или иной сертификат и нажмите кнопку Изменить. Появится окно, аналогичное изображенному ниже.

      Свойства смарт-карты или иного сертификата
    6. Выберите из списка сертификат, который требуется использовать для проверки подлинности EAP, и затем трижды нажмите кнопку ОК.
    7. Убедитесь в том, что флажок Предоставить право удаленного доступа установлен, нажмите кнопку ОК и закройте окно «Маршрутизация и удаленный доступ».

    Настройка VPN-клиентов для проверки подлинности с использованием смарт-карт

    Перейдем к настройке клиента для использования проверки подлинности EAP с помощью смарт-карт.

    Создание записи в телефонной книге

    1. Нажмите кнопку Пуск, выберите команду Подключиться к, выберите пункт Отобразить все подключения и выберите в списке Сетевые задачи команду Создать новое подключение. На странице приветствия мастера новых подключений нажмите кнопку Далее. Появится следующее окно.

      Мастер новых подключений
    2. Выберите пункт Подключить к сети на рабочем месте и нажмите кнопку Далее.
    3. Выберите пункт Подключение к виртуальной частной сети и нажмите кнопку Далее.
    4. Введите имя подключения в поле Поставщик и нажмите кнопку Далее. Появится следующее окно.

      Мастер новых подключений
    5. При наличии постоянного подключения к Интернету выберите пункт Не набирать номер для предварительного подключения и нажмите кнопку Далее. Кроме того, если необходимо набрать номер перед созданием VPN-подключения, выберите команду Набрать номер для следующего предварительного подключения, выберите из списка подключение для набора номера и нажмите кнопку Далее.
    6. Введите имя или IP-адрес VPN-сервера в поле Имя компьютера или IP-адрес и нажмите кнопку Далее.
    7. Выберите пункт Использовать смарт-карту, нажмите кнопку Далее, а затем кнопку Готово.

    После создания записи в телефонной книге настройте эту запись на использование EAP.

    Настройка текущего подключения на использование проверки подлинности с помощью смарт-карты

    1. Щелкните правой кнопкой мыши нужное подключение, выберите пункт Свойства и откройте вкладку Безопасность. Появится следующее окно.

      Свойства организации
    2. Убедитесь в том, что выбран переключатель Обычные (рекомендуемые параметры), и выберите из списка При проверке используется вариант Смарт-карта.
    3. Выберите пункт Дополнительные (выборочные параметры) и щелкните команду Параметры.
    4. Щелкните пункт Смарт-карта или иной сертификат (шифрование включено).
    5. Щелкните пункт Свойства, затем щелкните пункт Использовать мою смарт-карту.
    6. Убедитесь в том, что флажок Проверять сертификат сервера установлен.
    7. Если необходимо, установите флажок Подключаться только если имя сервера заканчивается на.
    8. В поле Доверенный корневой центр сертификации выберите имя центра сертификации, выпустившего сертификат для использования совместно со смарт-картой или установленный сертификат пользователя.
    9. Если необходимо, установите флажок Использовать для подключения другое имя пользователя.
    10. Для использования EAP совместно с сертификатом пользователя, пользователю необходимо войти в систему.

    Настройка VPN-клиентов для проверки подлинности с использованием смарт-карт с помощью диспетчера подключений

    Если необходимо настроить VPN-подключения для нескольких клиентов, можно воспользоваться диспетчером подключений.

    Установка пакета администрирования диспетчера подключений (CMAK) на компьютер с Windows Server 2003

    1. Нажмите кнопку Пуск, откройте Панель управления и выберите пункт Установка и удаление программ.
    2. В диалоговом окне Установка и удаление программ щелкните пункт Установка компонентов Windows.
    3. В окне мастера компонентов Windows выберите раздел Средства управления и наблюдения и щелкните пункт Состав. Появится окно, аналогичное изображенному ниже.

      Средства управления и наблюдения
    4. В диалоговом окне Средства управления и наблюдения выберите пункт Пакет администрирования диспетчера подключений (CMAK), затем последовательно нажмите кнопки ОК, Далее и Готово.

    Использование CMAK для создания профиля VPN-подключения, который можно распространить среди пользователей

    1. Нажмите кнопку Пуск, выберите раздел Администрирование и щелкните пункт Пакет администрирования диспетчера подключений (CMAK).
    2. В окне Мастер пакета администрирования диспетчера подключений (CMAK) нажмите кнопку Далее.
    3. Убедитесь в том, что выбран вариант Новый профиль, и нажмите кнопку Далее.
    4. Введите имя профиля в поле Имя службы и имя исполняемого файла, который будет распространяться среди клиентов, в поле Имя файла.
    5. Окно Имя сферы (см. следующий снимок экрана) позволяет добавить имя сферы к имени пользователя. Добавление имени сферы может потребоваться для идентификации пользователей при подключении к VPN через сервер доступа к сети сторонней организации, использующий RADIUS для передачи учетных данных для проверки подлинности по сети на серверы службы проверки подлинности в Интернете (IAS).

      Выберите Не добавлять имя сферы к имени пользователя (если это не является необходимым) и нажмите кнопку Далее.

      Мастер пакета администрирования диспетчера подключений (CMAK)
    6. Окно Слияние профилей позволяет объединить ранее настроенные профили диспетчера подключений. Это делается при необходимости включить сведения, хранящиеся в других профилях (например номера доступа к сети) в текущий профиль. Добавьте все необходимые профили и нажмите кнопку Далее.
    7. Окно Поддержка VPN (см. следующий снимок экрана) позволяет создать из профиля телефонную книгу и настроить VPN-сервер или серверы для VPN-клиентов.

      Мастер пакета администрирования диспетчера подключений (CMAK)

      Телефонная книга содержит такие сведения, как телефонный код города, номер телефона и методы проверки подлинности пользователей. Телефонная книга диспетчера подключений также содержит различные параметры сети, настраиваемые с помощью мастера CMAK.

      Если необходимо, чтобы у клиента была возможность подключаться к нескольким VPN-серверам, можно создать в текстовом файле список VPN-серверов (см. следующий снимок экрана). Если необходимо, чтобы подключение использовало список VPN-серверов, выберите пункт Пользователь выберет VPN-сервер перед подключением, укажите текстовый файл и нажмите кнопку Далее.

      vpnlist.txt-Блокнот
    8. В окне VPN-записи выберите создаваемый профиль, выберите команду Изменить и перейдите на вкладку Безопасность. Появится следующее диалоговое окно.

      Изменить запись виртуальной частной сети
    9. В раскрывающемся списке Параметры безопасности выберите пункт Использовать дополнительные параметры и нажмите кнопку Настроить. Появится следующее диалоговое окно.

      Дополнительные параметры безопасности
    10. Убедитесь в том, что в раскрывающемся списке Шифрование данных выбран пункт Шифрование обязательно, и в том, что в списке стратегий VPN выбран правильный протокол туннелирования.

      Отметьте пункт Протокол расширенной проверки подлинности (EAP), выберите из соответствующего раскрывающегося списка пункт Смарт-карта или иной сертификат (шифрование включено) и нажмите кнопку Свойства. Появится окно, аналогичное изображенному ниже.

      Свойства смарт-карты или иного сертификата
    11. Убедитесь в том, что установлены флажки Использовать мою смарт-карту и Проверять сертификат сервера, если необходимо, чтобы клиент мог убедиться в подлинности сервера. Кроме того, можно ввести имена одного или нескольких серверов для подключения и имя корневого центра сертификации для проверки сервера. Если клиент должен пройти проверку подлинности, используя другое имя пользователя по отношению к указанному в сертификате, установите флажок Использовать для подключения другое имя пользователя. Трижды нажмите кнопку ОК, а затем нажмите кнопку Далее.
    12. Окно Телефонная книга позволяет включить в профиль дополнительный файл телефонной книги и автоматически загружать обновления телефонной книги. Телефонная книга содержит такие сведения, как телефонный код города, телефонный номер и поддерживаемые методы проверки подлинности пользователей. Телефонная книга диспетчера подключений также содержит различные параметры сети, настраиваемые с помощью мастера CMAK. При выборе параметра Автоматически загружать обновления телефонной книги необходимо ввести местоположение, из которого будут загружаться обновления. Если обновления телефонной книги загружать не требуется, не выбирайте этот параметр. Нажмите кнопку Далее.
    13. При использовании коммутируемого подключения к сети выберите запись, а затем щелкните Изменить в окне «Записи удаленного доступа к сети». (Далее будет показано, как отключить коммутируемое подключение к сети, если оно не используется.) Если необходимая конфигурация создана или если не требуется использовать коммутируемое подключение к сети, нажмите кнопку Далее. Окна мастера, описанные в задачах 14-25, позволяют настроить необязательные компоненты, изменяющие в первую очередь внешний вид подключения.
    14. Параметры окна Обновление таблицы маршрутизации можно использовать для настройки сведений о маршрутизации для подключения. Значение по умолчанию позволяет VPN-клиенту подключаться ко всем не напрямую подключенным сетям через интерфейс VPN. Тем не менее, если не настроить VPN-клиент на использование VPN-подключения в качестве шлюза по умолчанию, то можно создать собственные записи таблицы маршрутизации, позволяющие VPN-клиенту получать доступ к выбранным подсетям внутренней сети. После окончания нажмите кнопку Далее.
    15. Параметры окна Автоматическая конфигурация прокси можно использовать для принудительного назначения VPN-клиентам VPN-сервера в качестве прокси-сервера. Нажмите кнопку Далее.
    16. Параметры окна Действия пользователя можно использовать для указания программ, которые будут запускаться автоматически до, после или в процессе VPN-подключения. Нажмите кнопку Далее.
    17. Параметры окна Рисунок для окна подключения можно использовать для создания специального изображения, появляющегося при открытии пользователем VPN-подключения. При создании собственного изображения убедитесь в том, что оно имеет размер 330 x 140 пикселов. Нажмите кнопку Далее.
    18. Параметры окна Рисунок телефонной книги можно использовать для создания специального изображения, появляющегося при открытии пользователем телефонной книги. При создании собственного изображения убедитесь в том, что оно имеет размер 114 x 309 пикселов. Нажмите кнопку Далее.
    19. Параметры окна Значки можно использовать для выбора значков, отображаемых в интерфейсе пользователя диспетчера подключений. Нажмите кнопку Далее.
    20. Параметры окна Меню ярлыка области уведомлений можно использовать для добавления пунктов в контекстные меню диспетчера подключений. Нажмите кнопку Далее.
    21. Параметры окна Файл справки можно использовать для указания файла справки для пользователей. Нажмите кнопку Далее.
    22. Параметры окна Сведения о поддержке можно использовать для предоставления пользователям сведений о поддержке. Нажмите кнопку Далее.
    23. Можно просмотреть параметры окна Программное обеспечение диспетчера подключений. Имеется возможность установить диспетчер подключений версии 1.3 для тех клиентов, у которых он еще не установлен. Нажмите кнопку Далее.
    24. Параметры окна Лицензионное соглашение можно использовать для включения настраиваемого лицензионного соглашения для подключения. Нажмите кнопку Далее.
    25. Параметры окна Дополнительные файлы можно использовать для добавления дополнительных файлов в профиль диспетчера подключений. Нажмите кнопку Далее.
    26. В окне Все готово для создания профиля службы выберите пункт Дополнительная настройка и нажмите кнопку Далее.
    27. Окно Дополнительная настройка (см. следующий снимок экрана) позволяет настроить значения параметров в файлах конфигурации профиля. Для VPN-подключений с включенной поддержкой смарт-карт следует отключить удаленное подключение, присвоив параметру Dialup значение 0. Параметры HideDomain, HideUserName и HidePassword также включены.

      Мастер пакета администрирования диспетчера подключений (CMAK)
    28. Файлы конфигурации профиля представляют собой текстовые файлы с расширениями INF, CMS и CMP. Мастер читает файлы template.inf, template.cms и template.cmp, установленные по умолчанию совместно с CMAK.

      По окончании работы мастера для профиля создаются новые файлы конфигурации имя_профиля.inf, имя_профиля.cms и имя_профиля.cmp. Исходные файлы шаблонов можно редактировать, добавляя дополнительные параметры, которые смогут настраивать пользователи мастера.

      Дополнительные сведения о дополнительных параметрах настройки для диспетчера подключений см. на странице «Дополнительные параметры настройки для диспетчера подключений» по адресу www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/ierk/Ch14_d.asp (эта ссылка может указывать на содержимое полностью или частично на английском языке).

      Изменения, внесенные в файл template.cms (см. следующий снимок экрана), позволяют скрыть поля ввода домена, имени пользователя и пароля таким образом, чтобы при необходимости включить эту возможность. MPPE использует пароль пользователя в процессе шифрования, поэтому в некоторых случаях решение требует наличия полей ввода имени пользователя и пароля.

      template.cms-Блокнот
    29. После завершения внесения в параметры всех изменений щелкните Далее для создания исполняемого файла и файлов конфигурации. Запомните местоположение файлов и щелкните Готово. Исполняемый файл распространяется среди клиентов с помощью стандартных механизмов распространения программного обеспечения. Клиент может запустить файл на исполнение вручную. Можно также автоматизировать процесс установки VPN-подключения.

    Проверка решения на основе VPN с использованием смарт-карт

    Цель процесса проверки заключается в обнаружении проблем в проекте или конфигурации решения до его полного развертывания. Чтобы проверить решение на основе VPN с использованием смарт-карт, необходимо выполнить несколько основных процедур. Ниже перечислены основные процедуры проверки.

    • Назначение сертификата смарт-карте.
    • Распространение профиля диспетчера подключений.
    • Установка профиля диспетчера подключений.
    • Подключение к VPN-серверу с использованием проверки подлинности с помощью смарт-карты.
    • Доступ к внутренним сетевым ресурсам через VPN-подключение.

    Устранение неполадок в решении на основе VPN с использованием смарт-карт

    Цель процесса проверки заключается в устранении неполадок в решении, определении условий, при которых происходит сбой процесса, и сосредоточении усилий на этом направлении.

    В следующей таблице приведены рекомендации по устранению неполадок в решении на основе VPN с использованием смарт-карт.

    Таблица 1. Рекомендации по устранению неполадок в решении на основе VPN с использованием смарт-карт

    Проблема Решение

    В центре сертификации отсутствуют необходимые сертификаты.

    Включите шаблоны сертификатов на сайтах и в службах Active Directory.

    Назначьте разрешения на подачу заявок.

    Не удается назначить сертификаты смарт-карте.

    Установите устройство записи смарт-карт.

    Назначьте сертификат агента подачи заявок.

    VPN-серверу не удается выполнить проверку подлинности удаленных клиентов.

    Настройте сервер для поддержки проверки подлинности EAP-TLS.

    Убедитесь в том, что сертификат, используемый на сервере, является доверенным для клиента.

    Клиент пытается установить соединение удаленного доступа перед созданием VPN-подключения.

    Настройте клиент таким образом, чтобы номер для предварительного подключения не набирался.

    Клиент не пытается установить соединение удаленного доступа перед созданием VPN-подключения.

    Настройте клиент таким образом, чтобы набирался номер для предварительного подключения.

    При попытке клиента создать VPN-подключение, появляется приглашение ввести имя пользователя, имя домена и пароль.

    Убедитесь в том, VPN-подключение настроено на использование смарт-карт.

    Убедитесь в том, что параметры HideUserName, HideDomain и HidePassword включены.

    В сетевых подключениях клиента отсутствует объект подключения.

    Убедитесь в том, что клиенту был доставлен профиль диспетчера подключений.

    Убедитесь в том, что исполняемый файл профиля диспетчера подключений запущен.

    Клиент не может подключиться к VPN-серверу.

    Убедитесь в том, что подключение клиента настроено на правильное имя VPN-сервера.

    Убедитесь в том, что клиент выбирает нужный сервер из списка VPN-серверов.

    Клиенту не удается пройти проверку подлинности на VPN-сервере.

    Убедитесь в том, что клиент подключается к правильному VPN-серверу.

    Убедитесь в том, что смарт-карта имеет сертификат, который является доверенным для VPN-сервера.

    Дополнительные сведения об устранении общих неполадок для VPN-подключений см. в разделе Устранение неполадок с VPN на веб-узле Microsoft TechNet по адресу http://technet2.microsoft.com/WindowsServer/en/Library/4543aff5-e10f-487c-92ad-bb5518a736201033.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

    К началу страницы

    Аннотация

    Внедрение смарт-карт для проверки подлинности подключений удаленного доступа обеспечивает более надежную защиту, чем использование простого сочетания имени пользователя и пароля. Смарт-карты используют двухфакторную проверку подлинности за счет сочетания смарт-карты и ПИН-кода. Двухфакторная проверка подлинности значительно более устойчива к взлому, а пользователю легче запомнить ПИН-код, чем сложный пароль.

    Использование смарт-карт представляет собой надежный и экономичный метод проверки подлинности удаленных пользователей, повышающий сетевую безопасность.


    Главная > Интернет > Безопасность