В предыдущей статье я рассказал о принципах работы карантина удаленного доступа к сети (NAQC) и подробно описал процесс установки. В этой завершающей статье мы завершим установку NAQC, обсудим, какие изменения в области NAQC внесет выпуск ISA Server 2004, и принцип работы карантина в ISA Server
автор Jonathan Hassell
В предыдущей статье я рассказал о принципах работы карантина удаленного доступа к сети (NAQC) и подробно описал процесс установки. В этой завершающей статье мы завершим установку NAQC, обсудим, какие изменения в области NAQC внесет выпуск ISA Server 2004, и принцип работы карантина в ISA Server.
Продолжим там, где мы остановились.
Доставка профиля удаленным пользователям
Из профиля, созданного нами в предыдущей статье, создается исполняемый файл, который можно доставить удаленным пользователям и заставить выполнятся автоматически. Есть несколько вариантов доставки этого исполняемого файла пользователям.
Вы можете прикрепить исполняемый файл к электронной почте, или, что еще лучше, добавить ссылку к нему, если он расположен на каком-либо web-сервере. В электронном сообщении вы можете написать, как запустить файл и использовать новый модуль соединения. Вы также можете заставить исполняемый файл запускаться при входе/выходе из системы, но для этого понадобится, чтобы пользователи либо соединялись при помощи дозвона (dial-up), либо удаленно входили в вашу внутреннюю сеть.
Какой бы метод вы не выбрали для доставки профиля пользователям, вам следует поместить последнюю версию исполняемого файла на изолированном ресурсе, чтобы клиенты, не отвечающие требованиям базового скрипта, могли скачать последнюю версию, не нарушая целостности вашей сети.
Создание политики карантина
Последний шаг в процессе установки – создание фактической политики карантина в рамках RRAS. В этой главе мы создадим политику карантина в RRAS, имея ввиду, что исполняемый файл профиля расположен на изолированном web-ресурсе.
Если RRAS настроен на использование источника опознания Windows (Windows authentication provider), тогда он использует либо Active Directory, либо NT 4 домены (RRAS должен быть запущен на Windows Server 2003; ему не следует принадлежать к Active Directory-домену) для опознания пользователей. Если RRAS настроен на использование RADIUS, тогда сервер RADIUS должен быть запущен на Windows Server 2003 системе с работающим IAS. Кстати, IAS также использует Active Directory и NT 4 домены для опознания пользователей.
Настройка RRAS
Рис. 4: Способ настройки политики
Рис. 5: Пользовательский или групповой доступ
Рис. 6: Уровень шифрования политики
Выбор атрибутов для карантина
Теперь следует выбрать атрибуты, приписываемые сессии карантина:
Рис. 8: Информация об Атрибуте Фильтра IP-адресов
Рис. 9: Входящие Фильтры
Рис. 10: Добавить Фильтр IP
Исключения в правилах
Несмотря на преимущества подключения всех пользователей через сессию карантина до проверки их настроек, могут возникнуть логические и политические несогласия в вашей организации, способные внести изменения в правила. Самым простым способом исключить пользователя или группу пользователей из участия в карантине – создать группу исключения с помощью Active Directory.
Создав такую группу, создайте еще одну политику, относящуюся к группе исключения, настроив ее так же, как мы настроили политику удаленного доступа карантина. Только на этот раз не создавайте или не настраивайте либо MS-Quarantine-IPFilter, либо MS-Quarantine-Session-Timeout атрибуты. Как только создадите политику, относящуюся к группе исключения, разместите ее так, чтобы она выполнялась до политики, обеспечивающей карантин остальным пользователям.
Расширение возможностей с помощью ISA Server 2004
Управление Карантином из ISA Server 2004 работает вместе со службой маршрутизации и удаленного доступа (RRAS), описанной в предыдущей статье. Разница в том, что с ISA Server вы можете потребовать, чтобы авторизующийся пользователь приписывался к изолированной VPN сети со строгими фильтрами, пока Менеджер Соединений не пошлет сообщение к ISA, подтверждая, что клиент прошел проверку. Так же как обычные соединения у NAQC, процесс карантина у ISA полагается на профили Менеджера Соединений и требует создания базового скрипта.
В ISA Server 2004 у вас есть два способа настроить функциональность карантина: вы можете включать карантин с помощью RRAS, что требует Windows Server 2003. Пользуясь этим способом, пользователи карантина проходят обычное опознание и проверку целостности и ISA Server разрешает им доступ в общую VPN сеть, только если они прошли проверку. Вы также можете включить карантин через сам ISA Server, и пользователи будут использовать интегрированную Изолированную VPN Сеть, а также любые фильтры, связанные с ней. Главное отличие этого способа – то, что вы можете использовать режим карантина на любом компьютере с ISA Server, а не только с Windows Server 2003.
Карантин ISA Server имеет лучше настроенный режим ожидания, позволяя клиентам оставаться в VPN сети определенное количество секунд до разъединения, а также поддерживает список исключений, идентифицирующий пользователей (либо с помощью Active Directory, либо сервера RADIUS), которые могут не проходить карантин.
Слушающие компоненты карантина были специально обновлены для поддержки ISA Server и находятся в ISA Server 2004 Resource Kit, который можно взять с web-сайта компании Microsoft.
Чтобы включить карантин в ISA Server:
Рис. 11: Свойства изолированной сети VPN
Как только вы завершите, найдите в ISA Server 2004 Resource Kit скрипт ConfigureRQSforISA.vbs и запустите его. Он автоматически создаст правило доступа, позволяющее пропускать трафик через 7250 порт как от клиентов VPN, так и от Изолированных клиентов VPN. Этот трафик важен, т.к. сообщения от клиентов о прохождении проверки посылаются именно на этот порт.
Вы также можете установить следующие правила для изолированной VPN сети:
Заключение
В этой статье мы обсудили режим карантина, используя сервисы, включенные в Windows Server 2003 и связанным с ним Resource Kit, а также расширенные возможности ISA сервера. Использование этих инструментов предотвратит или минимизирует возможность угрозу, которую представляют удаленные пользователи при соединении с вашей сетью.
Храним важное в надежном месте