Konfiguracja serwerów sieci VPN i zapory
Zaporę z serwerem sieci VPN można wykorzystywać na dwa sposoby.
•
Serwer sieci VPN przed zaporą. Serwer sieci VPN jest połączony z Internetem, a zapora znajduje
się między serwerem sieci VPN i intranetem.
•
Serwer sieci VPN za zaporą. Zapora jest połączona z Internetem, a serwer sieci VPN znajduje się
między zaporą i intranetem.
Serwer sieci VPN przed zaporą
Jeżeli serwer sieci VPN znajduje się przed zaporą i jest podłączony do Internetu, należy dodać do
interfejsu internetowego filtry pakietów zezwalające tylko na ruch sieci VPN pod adres IP interfejsu
internetowego serwera sieci VPN i odbieranie ruchu sieci VPN z tego adresu IP.
W przypadku odszyfrowywania tunelowanych danych przez serwer sieci VPN ruch przychodzący
jest przekazywany do zapory. Korzystając z filtrów, zapora zezwala na ruch do zasobów intranetowych.
Ponieważ tylko ruch przekazywany przez serwer sieci VPN jest generowany przez uwierzytelnionych
klientów sieci VPN, w tym scenariuszu filtrowanie na zaporze można wykorzystać do uniemożliwienia
użytkownikom sieci VPN uzyskania dostępu do określonych zasobów intranetowych. Ponieważ ruch
internetowy dozwolony w intranecie musi być przekazywany przez serwer sieci VPN, ta metoda
uniemożliwia również udostępnianie zasobów File Transfer Protocol (FTP) lub intranetowych zasobów sieci
Web w przypadku użytkowników internetowych spoza sieci VPN.
Następująca ilustracja przedstawia serwer sieci VPN przed zaporą.
W przypadku interfejsu internetowego na serwerze sieci VPN należy przy użyciu usługi Routing
i dostęp zdalny skonfigurować następujące filtry wejściowe i wyjściowe:
Filtry pakietów protokołu Point-to-Point Tunneling Protocol (PPTP)
Należy skonfigurować następujące filtry wejściowe i ustawić akcję filtrowania Porzuć wszystkie
pakiety oprócz tych, które spełniają poniższe kryteria:
•
Docelowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i docelowy port TCP 1723.
Ten filtr zezwala na ruch związany z konserwacją tunelu PPTP od klienta PPTP do serwera PPTP.
•
Docelowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i identyfikator protokołu IP 47.
Ten filtr zezwala na przekazywanie tunelowanych danych PPTP od klienta PPTP do serwera PPTP.
•
Docelowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i źródłowy (ustanowiony) port TCP 1723.
Ten filtr jest wymagany tylko wówczas, gdy serwer sieci VPN pełni rolę klienta sieci VPN (routera
wywołującego) w przypadku połączenia sieci VPN typu router-router. Ruch (ustanowiony) TCP jest
akceptowany tylko wówczas, gdy połączenie TCP zostało zainicjowane przez serwer sieci VPN.
Należy skonfigurować następujące filtry wyjściowe i ustawić akcję filtrowania Porzuć wszystkie
pakiety oprócz tych, które spełniają poniższe kryteria:
•
Źródłowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i źródłowy port TCP 1723.
Ten filtr zezwala na ruch związany z konserwacją tunelu PPTP od serwera sieci VPN do klienta sieci
VPN.
•
Źródłowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i identyfikator protokołu IP 47.
Ten filtr zezwala na przekazywanie tunelowanych danych PPTP od serwera sieci VPN do klienta
sieci VPN.
•
Źródłowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i docelowy port TCP 1723.
Ten filtr jest wymagany tylko wówczas, gdy serwer sieci VPN pełni rolę klienta sieci VPN (routera
wywołującego) w przypadku połączenia sieci VPN typu router-router. Ruch (ustanowiony) TCP jest
wysyłany tylko wówczas, gdy połączenie TCP zostało zainicjowane przez serwer sieci VPN.
Filtry pakietów protokołu Layer Two Tunneling Protocol z zabezpieczeniami protokołu
internetowego (L2TP/IPSec)
Należy skonfigurować następujące filtry wejściowe i ustawić akcję filtrowania Porzuć wszystkie
pakiety oprócz tych, które spełniają poniższe kryteria:
•
Docelowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i docelowy port UDP 500.
Ten filtr zezwala na ruch Internet Key Exchange (IKE) do serwera sieci VPN.
•
Docelowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i docelowy port UDP 1701.
Ten filtr zezwala na ruch L2TP od klienta sieci VPN do serwera sieci VPN.
•
Docelowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i docelowy port UDP 4500.
Ten filtr zezwala na przechodzenie translacji adresów sieciowych (NAT-T) protokołu IPSec.
Należy skonfigurować następujące filtry wyjściowe i ustawić akcję filtrowania Porzuć wszystkie
pakiety oprócz tych, które spełniają poniższe kryteria:
•
Źródłowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i źródłowy port UDP 500.
Ten filtr zezwala na ruch w usłudze IKE od serwera sieci VPN.
•
Źródłowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i źródłowy port UDP 1701.
Ten filtr zezwala na ruch L2TP od serwera sieci VPN do klienta sieci VPN.
•
Źródłowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i źródłowy port UDP 4500.
Ten filtr zezwala na ruch NAT-T protokołu IPSec.
Dla ruchu ESP (Encapsulating Security Payload) przekazywanego przez port 50 protokołu IP nie są
wymagane żadne filtry. Nagłówek ESP jest usuwany przez składniki protokołu IPSec przed przekazaniem
pakietów L2TP do usługi Routing i dostęp zdalny.
Ważne
•
Nie jest zalecane wdrażanie translacji adresów sieciowych (NAT-T) protokołu IPSec dla systemu
Windows, które obejmuje serwery sieci VPN zlokalizowane za translatorami adresów sieciowych.
Gdy serwer znajduje się za translatorem adresów sieciowych, a serwery używają translacji
adresów sieciowych (NAT-T) protokołu IPSec, może to spowodować nieoczekiwane zachowanie
ze względu na sposób translacji ruchu w sieci przez translatory adresów sieciowych.
Serwer sieci VPN za zaporą
W bardziej typowej konfiguracji zapora jest połączona z Internetem, a serwer sieci VPN jest
zasobem intranetowym połączonym z siecią graniczną. Serwer sieci VPN dysponuje zarówno interfejsem
sieci granicznej, jak i interfejsem intranetowym. W tym scenariuszu zapora musi być skonfigurowana
z filtrami wejściowymi i wyjściowymi na interfejsie internetowym, zezwalającymi na ruch związany
z konserwacją tunelu i przekazywanie tunelowanych danych do serwera sieci VPN. Dodatkowe filtry
mogą zezwalać na przekazywanie ruchu do serwerów sieci Web, serwerów FTP i serwerów innego typu
w sieci granicznej. W przypadku dodatkowej warstwy zabezpieczeń serwer sieci VPN może być również
skonfigurowany z filtrami pakietów protokołu PPTP lub L2TP/IPSec na interfejsie sieci granicznej.
Ponieważ zapora nie dysponuje kluczami szyfrowania dla każdego połączenia sieci VPN, może
ona filtrować tylko nagłówki tunelowanych danych w formacie zwykłego tekstu. Inaczej mówiąc,
wszystkie tunelowane dane są przekazywane przez zaporę. Nie jest to zagadnienie związane
z zabezpieczeniami, jednak proces uwierzytelniania jest wymagany w przypadku połączenia sieci VPN,
dlatego takie rozwiązanie zapobiega nieautoryzowanemu dostępowi poza serwerem sieci VPN.
Następująca ilustracja przedstawia serwer sieci VPN za zaporą w sieci granicznej.
Zarówno w przypadku interfejsu internetowego, jak i interfejsu sieci granicznej, na zaporze należy
skonfigurować następujące filtry wejściowe i wyjściowe przy użyciu oprogramowania służącego do
konfiguracji zapory:
Filtry pakietów protokołu PPTP
Na interfejsie internetowym i interfejsie sieci granicznej można skonfigurować osobne wejściowe
i wyjściowe filtry pakietów.
Filtry interfejsu internetowego
Należy skonfigurować następujące filtry wejściowe pakietów na interfejsie internetowym zapory
zezwalające na następujące typy ruchu:
•
Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port TCP 1723 (0x6BB).
Ten filtr zezwala na ruch związany z konserwacją tunelu PPTP od klienta PPTP do serwera PPTP.
•
Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 47
(0x2F).
Ten filtr zezwala na przekazywanie tunelowanych danych PPTP od klienta PPTP do serwera PPTP.
•
Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i źródłowy port TCP 1723 (0x6BB).
Ten filtr jest wymagany tylko wówczas, gdy serwer sieci VPN pełni rolę klienta sieci VPN (routera
wywołującego) w przypadku połączenia sieci VPN typu router-router. Tego filtru należy używać
tylko w połączeniu z filtrami pakietów protokołu PPTP opisanymi w scenariuszu Serwer sieci VPN
przed zaporą i należy go skonfigurować na interfejsie sieci granicznej serwera sieci VPN.
Zezwolenie na wszelki ruch do serwera sieci VPN z portu TCP 1723 umożliwia ataki sieciowe
ze źródeł w Internecie używających tego portu.
Należy skonfigurować następujące filtry wyjściowe na interfejsie internetowym zapory,
zezwalające na następujące typy ruchu:
•
Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i źródłowy port TCP 1723 (0x6BB).
Ten filtr zezwala na ruch związany z konserwacją tunelu PPTP od serwera sieci VPN do klienta sieci
VPN.
•
Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 47 (0x2F).
Ten filtr zezwala na przekazywanie tunelowanych danych PPTP od serwera sieci VPN do klienta
sieci VPN.
•
Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port TCP 1723 (0x6BB).
Ten filtr jest wymagany tylko wówczas, gdy serwer sieci VPN pełni rolę klienta sieci VPN (routera
wywołującego) w przypadku połączenia sieci VPN typu router-router. Tego filtru należy używać
tylko w połączeniu z filtrami pakietów protokołu PPTP opisanymi w scenariuszu Serwer sieci VPN
przed zaporą i należy go skonfigurować na interfejsie sieci granicznej serwera sieci VPN.
Zezwolenie na wszelki ruch od serwera sieci VPN do portu TCP 1723 umożliwia ataki sieciowe
ze źródeł w Internecie używających tego portu.
Filtry interfejsu sieci granicznej
Należy skonfigurować następujące filtry wejściowe na interfejsie sieci granicznej zapory,
zezwalające na następujące typy ruchu:
•
Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i źródłowy port TCP 1723 (0x6BB).
Ten filtr zezwala na ruch związany z konserwacją tunelu PPTP od serwera sieci VPN do klienta sieci
VPN.
•
Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 47 (0x2F).
Ten filtr zezwala na przekazywanie tunelowanych danych PPTP od serwera sieci VPN do klienta
sieci VPN.
•
Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port TCP 1723 (0x6BB).
Ten filtr jest wymagany tylko wówczas, gdy serwer sieci VPN pełni rolę klienta sieci VPN (routera
wywołującego) w przypadku połączenia sieci VPN typu router-router. Tego filtru należy używać
tylko w połączeniu z filtrami pakietów protokołu PPTP opisanymi w scenariuszu Serwer sieci VPN
przed zaporą i należy go skonfigurować na interfejsie sieci granicznej serwera sieci VPN.
Zezwolenie na wszelki ruch od serwera sieci VPN do portu TCP 1723 umożliwia ataki sieciowe
ze źródeł w Internecie używających tego portu.
Należy skonfigurować następujące wyjściowe filtry pakietów na interfejsie sieci granicznej,
zezwalające na następujące typy ruchu:
•
Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port TCP 1723 (0x6BB).
Ten filtr zezwala na ruch związany z konserwacją tunelu PPTP od klienta PPTP do serwera PPTP.
•
Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 47
(0x2F).
Ten filtr zezwala na przekazywanie tunelowanych danych PPTP od klienta PPTP do serwera PPTP.
•
Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i źródłowy port TCP 1723 (0x6BB).
Ten filtr jest wymagany tylko wówczas, gdy serwer sieci VPN pełni rolę klienta sieci VPN (routera
wywołującego) w przypadku połączenia sieci VPN typu router-router. Tego filtru należy używać
tylko w połączeniu z filtrami pakietów protokołu PPTP opisanymi w scenariuszu Serwer sieci VPN
przed zaporą i należy go skonfigurować na interfejsie sieci granicznej serwera sieci VPN.
Zezwolenie na wszelki ruch do serwera sieci VPN od portu TCP 1723 umożliwia ataki sieciowe
ze źródeł w Internecie używających tego portu.
Filtry pakietów protokołu L2TP/IPSec
Na interfejsie internetowym i interfejsie sieci granicznej można skonfigurować osobne wejściowe
i wyjściowe filtry pakietów.
Filtry interfejsu internetowego
Należy skonfigurować następujące filtry wejściowe pakietów na interfejsie internetowym zapory
zezwalające na następujące typy ruchu:
•
Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port UDP 500 (0x1F4).
Ten filtr zezwala na ruch IKE do serwera sieci VPN.
•
Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port UDP 4500 (0x1194).
Ten filtr zezwala na ruch NAT-T protokołu IPSec do serwera sieci VPN.
•
Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 50
(0x32).
Ten filtr zezwala na ruch w protokole IPSec ESP od klienta sieci VPN do serwera sieci VPN.
Należy skonfigurować następujące wyjściowe filtry pakietów na interfejsie internetowym zapory,
zezwalające na następujące typy ruchu:
•
Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i źródłowy port UDP 500 (0x1F4).
Ten filtr zezwala na ruch w usłudze IKE od serwera sieci VPN.
•
Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i źródłowy port UDP 4500.
Ten filtr zezwala na ruch NAT-T protokołu IPSec od serwera sieci VPN.
•
Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 50 (0x32).
Ten filtr zezwala na ruch w protokole IPSec ESP od serwera sieci VPN do klienta sieci VPN.
Żadne filtry nie są wymagane dla ruchu L2TP przekazywanego przez port UDP 1701. Cały ruch L2TP
na zaporze, włącznie z ruchem dotyczącym konserwacji tunelu i tunelowanymi danymi, jest szyfrowany
jako ładunek protokołu IPSec ESP.
Ważne
•
Nie jest zalecane wdrażanie translacji adresów sieciowych (NAT-T) protokołu IPSec dla systemu
Windows, które obejmuje serwery sieci VPN zlokalizowane za translatorami adresów sieciowych.
Gdy serwer znajduje się za translatorem adresów sieciowych, a serwery używają translacji
adresów sieciowych (NAT-T) protokołu IPSec, może to spowodować nieoczekiwane zachowanie
ze względu na sposób translacji ruchu w sieci przez translatory adresów sieciowych.
Filtry interfejsu sieci granicznej
Należy skonfigurować następujące wejściowe filtry pakietów na interfejsie sieci granicznej zapory,
zezwalające na następujące typy ruchu:
•
Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i źródłowy port UDP 500 (0x1F4).
Ten filtr zezwala na ruch w usłudze IKE od serwera sieci VPN.
•
Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i źródłowy port UDP 4500.
Ten filtr zezwala na ruch NAT-T protokołu IPSec od serwera sieci VPN.
•
Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 50 (0x32).
Ten filtr zezwala na ruch w protokole IPSec ESP od serwera sieci VPN do klienta sieci VPN.
Należy skonfigurować następujące wyjściowe filtry pakietów na interfejsie sieci granicznej
zezwalające na następujące typy ruchu:
•
Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port UDP 500 (0x1F4).
Ten filtr zezwala na ruch w usłudze IKE do serwera sieci VPN.
•
Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port UDP 4500 (0x1194).
Ten filtr zezwala na ruch NAT-T protokołu IPSec do serwera sieci VPN.
•
Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 50
(0x32).
Ten filtr zezwala na ruch w protokole IPSec ESP od klienta sieci VPN do serwera sieci VPN.
Żadne filtry nie są wymagane dla ruchu L2TP przekazywanego przez port UDP 1701. Cały ruch L2TP
na zaporze, włącznie z ruchem dotyczącym konserwacji tunelu i tunelowanymi danymi, jest szyfrowany
jako ładunek protokołu IPSec ESP.
Ważne
•
Nie jest zalecane wdrażanie translacji adresów sieciowych (NAT-T) protokołu IPSec dla systemu
Windows, które obejmuje serwery sieci VPN zlokalizowane za translatorami adresów sieciowych.
Gdy serwer znajduje się za translatorem adresów sieciowych, a serwery używają translacji
adresów sieciowych (NAT-T) protokołu IPSec, może to spowodować nieoczekiwane zachowanie
ze względu na sposób translacji ruchu w sieci przez translatory adresów sieciowych.