Remote access vpn что это
Перейти к содержимому

Remote access vpn что это

  • автор:

Шлюзы защищённого удалённого доступа (Remote Access VPN)

Шлюзы защищенного удаленного доступа (Remote Access VPN) – это программно-аппаратные или программные комплексы, обеспечивающие возможность защищённого подключения пользователей к ресурсам корпоративной сети через Интернет и другие открытые сети. Применение таких решений необходимо в тех случаях, когда требуется обеспечить конфиденциальность и целостность данных, передаваемых по незащищённым или недоверенным каналам связи.

Использование шлюзов защищенного удаленного доступа позволяет строить защищённые сети VPN по принципу «сеть – удаленный пользователь». При этом на границе защищаемой сети устанавливается шлюз защищённого удалённого доступа, а на компьютерах удалённых пользователей, подключенных к Интернет, устанавливаются программные VPN-клиенты. Между VPN-клиентами и шлюзом осуществляется криптографическая защита передаваемых данных

С точки зрения используемых протоколов можно выделить несколько типов Remote Access VPN:

  • использующие протоколы семейства IPSec/IKE;
  • использующие протоколы семейства SSL/TLS;
  • использующие проприетарные (собственной разработки) протоколы, несовместимые с другими решениями (в основном, это Российские решения).

Основные функции криптошлюзов

  • Обеспечение конфиденциальности и целостности данных, передаваемых по незащищенным и недоверенным каналам связи

Зачастую шлюзы, обеспечивающие защищенный удаленный доступ, одновременно выполняют функции межсетевого экрана, а программные VPN-клиенты – персональных сетевых экранов. Также в шлюзах Remote Access VPN могут быть реализованы и другие функции.

Законодательные требования

Использование средств криптографической защиты данных в России регулируется законодательно. Для государственных организаций и органов госвласти, а также во всех случаях при защите персональных данных, должны использоваться сертифицированные ФСБ России криптографические шлюзы защищённого удаленного доступа.

Шлюзы защищённого удалённого доступа (Remote Access VPN)

Результат применения решения

  • конфиденциальность и целостность передаваемой информации при организации удаленного доступа пользователей к корпоративной сети;
  • ликвидация риска по утечке или компрометации данных в каналах связи, и связанных с этими угрозами убытков;
  • соответствие требованиям законодательства, в том числе ФЗ-152.

Предлагаемые решения

Компания «Микротест» предлагает профессиональные услуги по консалтингу, выбору оптимального решения, проектированию, внедрению следующих криптографических шлюзов:

Примеры реализованных проектов

За подробной информацией по данному решению обращайтесь к нашим специалистам:
Тел: +7(495) 787-20-58 ; электронная почта: security@microtest.ru.

Check Point Remote Access VPN — бесплатный курс по настройке удаленного доступа

Приветствую, друзья! Добро пожаловать на наш очередной новый курс! Как я и обещал, курс Getting Started был не последним. На этот раз мы будем обсуждать не менее важную тему — Remote Access VPN (т.е. удаленный доступ). С помощью этого курса вы сможете быстро познакомиться с технологиями Check Point в плане организации защищенного удаленного доступа сотрудников. В рамках курса мы, как обычно, будем совмещать теоретическую часть с практической в виде лабораторных работ. Кроме демонстрации настройки Check Point мы рассмотрим различные способы подключения удаленных пользователей.

Несколько замечаний

  • Этот курс не является полноценным руководством по VPN технологиям. Это лишь очень краткая выжимка наиболее востребованной информации. Т.е. не стоит ожидать, что после просмотра вы станете гуру VPN-ов. Однако, для понимания принципов и быстрого начала работы с Check Point VPN этого курса будет более чем достаточно.
  • Я настоятельно рекомендую приступать к этому курсу только после завершения предыдущего — Check Point Getting Started. Я не буду здесь объяснять какие-то базовые вещи, типа архитектуры, как настроить ip-адрес или завести шлюз на сервер управления. Я буду исходить из предположения, что вы это уже умеете и мы сосредоточимся исключительно на VPN.

Для кого этот курс?

Я выделил три категории:

  1. Те, у кого уже есть Check Point, но он никогда не работал с VPN, а текущая ситуация обязывает в срочном порядке организовать удаленный доступ для сотрудников. С помощью этого мини курса вы быстро сможете настроить удаленку, буквально в течении 30 минут.
  2. Те, у кого нет Check Point-а, но так же в срочном порядке нужно организовать удаленку. В таких условиях можно конечно взять какой-нибудь opensource проект (например OpenVPN) и не заморачиваться с коммерческими продуктами. Но, т.к. Check Point сейчас раздает бесплатные лицензии на 2 месяца, то почему в рамках своей задачи не потестировать хорошее, корпоративное решение? Тем более, что с этим курсом вся настройка займет не больше 2х часов.
  3. Те, кто просто хочет обучиться чему-то новому. В этом случае, повторю свою рекомендацию — сначала изучить курс Check Point Getting Started. Уже после вы можете переходить к этому. Тем более, у вас будет уже готовый макет.

Первый урок

Следующие уроки НЕ будут публиковаться на Хабре. Поэтому следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog)!

10.1. VPN для удаленного доступа клиентов (Remote access VPN)

Для подключения VPN-клиентов к корпоративной сети необходимо настроить UserGate для выполнения роли VPN-сервера. Для этого необходимо выполнить следующие шаги:

Шаг 1. Разрешить сервис VPN на зоне, к которой будут подключаться VPN-клиенты

В разделе Сеть —> Зоны отредактировать параметры контроля доступа для той зоны, к которой будут подключаться VPN-клиенты, разрешить сервис VPN. Как правило, это зона Untrusted.

Шаг 2. Создать зону, в которую будут помещены подключаемые по VPN клиенты

В разделе Сеть —> Зоны создать зону, в которую будут помещены подключаемые по VPN клиенты. Эту зону в дальнейшем можно использовать в политиках безопасности.

Рекомендуется использовать уже существующую по умолчанию зону VPN for remote access.

Шаг 3. Создать правило NAT для созданной зоны

Клиенты подключаются к VPN с использованием Point-to-Point протокола. Чтобы трафик мог ходить из созданной на предыдущем шаге зоны, необходимо создать правило NAT из этой зоны во все необходимые зоны. Создайте соответствующее правило в разделе Политики сети —> NAT и маршрутизация.

По умолчанию в UserGate создано правило NAT from VPN for remote access to Trusted and Untrusted, разрешающее наттирование из зоны VPN for remote access в зоны Trusted и Untrusted.

Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны

В разделе Политики сети —> Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны.

По умолчанию в UserGate создано правило межсетевого экрана VPN for remote access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for remote access в зоны Trusted и Untrusted.

Шаг 5. Создать профиль авторизации

В разделе Пользователи и устройства —> Профили авторизации создать профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей для получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP.

VPN поддерживает многофакторную авторизацию. Второй фактор авторизации может быть получен через одноразовые коды TOTP, sms или e-mail. Для ввода второго фактора авторизации пользователь при подключении к VPN серверу должен указать свой пароль в виде:

где пароль — это пароль пользователя

одноразовый_код — второй фактор авторизации.

Подробно о профилях авторизации смотрите в разделе данного руководства Профили авторизации.

Шаг 6. Создать профиль безопасности VPN

Профиль безопасности VPN определяет такие настройки, как общий ключ шифрования (Preshared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей и использовать их для построения соединений с разными типами клиентов.

Для создания профиля необходимо перейти в раздел VPN —> Профили безопасности VPN, нажать кнопку Добавить и заполнить следующие поля:

  • Название — название профиля.
  • Описание — описание профиля.
  • Общий ключ — строка, которая должна совпадать на сервере и клиенте для успешного подключения.
  • Безопасность —> Методы шифрования — пары алгоритмов аутентификации и шифрования. Алгоритмы используются в порядке, в котором они изображены (сверху вниз). При установлении соединения используется первая пара, которую поддерживают сервер и клиент. Для совместимости со стандартными клиентами VPN рекомендуется оставить значения по умолчанию.

По умолчанию в UserGate создан серверный профиль Remote access VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, то необходимо изменить общий ключ шифрования.

Шаг 7. Создать VPN-интерфейс

VPN-интерфейс — это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

В разделе Сеть —> Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры:

  • Название — название интерфейса, должно быть в виде tunnelN, где N — это порядковый номер VPN-интерфейса.
  • Описание — описание интерфейса.
  • Зона — зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к серверу UserGate будут так же помещены в эту зону. Укажите зону, созданную на шаге 2.
  • Профиль Netflow — профиль Netflow, используемый для данного интерфейса. Не обязательный параметр.
  • Режим — тип присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Если интерфейс предполагается использовать для приема VPN-подключений (Site-2-Site VPN или Remote access VPN, то необходимо использовать статический IP-адрес.
  • MTU — размер MTU для выбранного интерфейса.

По умолчанию в системе уже создан VPN-интерфейс tunnel1, который рекомендовано использовать для Remote access VPN.

Шаг 8. Создать сеть VPN

VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и — опционально — маршруты, которые будут переданы клиентам для применения, если клиенты поддерживает применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов.

Для создания туннеля VPN перейдите в раздел VPN —> Сети VPN, нажмите кнопку Добавить и заполните следующие поля:

  • Название — название сети.
  • Описание — описание сети.
  • Диапазон IP-адресов, которые будут использованы клиентами и сервером. Исключите из диапазона адреса, которые назначены VPN-интерфейсу, используемым совместно с данной сетью. Не указывайте здесь адреса сети и широковещательный адрес.
  • Укажите DNS-сервера, которые будут переданы клиенту, или поставьте галочку Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует UserGate.
  • Укажите маршруты, передаваемые клиенту в виде бесклассовой адресации (CIDR)

В UserGate создана сеть Remote access VPN network с рекомендуемыми настройками.

Шаг 9. Создать серверное правило VPN

Создать серверное правило VPN, используя в нем созданные ранее сеть VPN, интерфейс VPN и профиль VPN. Для создания правила необходимо перейти в раздел VPN —> Серверные правила, нажать кнопку Добавить и заполнить следующие поля:

  • Вкл/Выкл — включает/отключает правило.
  • Название — название правила.
  • Описание — описание правила.
  • Профиль безопасности — профиль безопасности, созданный ранее.
  • Сеть VPN — сеть VPN, созданная ранее.
  • Профиль авторизации — профиль авторизации, созданный ранее.
  • URL инициализации TOTP — url, по которому пользователь может провести первоначальную инициализацию своего TOTP-устройства, в случае, если настроена многофакторная авторизация TOTP для авторизации VPN.
  • Интерфейс — интерфейс VPN, созданный ранее.
  • Источник — зоны и адреса, с которых разрешено принимать подключения к VPN. Как правило, клиенты находятся в сети интернет, следовательно, следует указать зону Untrusted.
  • Пользователи — группа пользователей или отдельные пользователи, которым разрешено подключаться по VPN.

По умолчанию в UserGate создано серверное правило Remote access VPN rule, в котором используются необходимые настройки для Remote Access VPN, а доступ к VPN разрешен членам локальной группы VPN users.

Важно! Для применения различных серверных правил к разным клиентам необходимо использовать параметры Исходная зона и Адрес источника. Параметр Пользователь не является условием выбора серверного правила, проверка пользователя происходит уже после установления соединения VPN.

Шаг 10. Настроить VPN на клиентском компьютере

Для настройки клиентского подключения к VPN на компьютере пользователя необходимо указать следующие параметры:

  • Используйте тип подключения VPN — L2TP over IPSec.
  • В качестве IP-адреса VPN-сервера укажите IP-адрес интерфейса зоны, указанной на шаге 1.
  • В качестве общего ключа (Preshared key, Shared secret) используйте общий ключ, указанный вами на шаге 6.
  • Укажите протокол PAP для авторизации пользователя.
  • В качестве имени пользователя укажите имя учетной записи пользователя в формате username @ domain, например, testuser @ testdomain . loc

Подводные камни отечественного Remote Access VPN или как сделать стабильно

Пользователи отечественных VPN решений жалуются на стабильность работы и удобство эксплуатации. Как инженер я ищу корень проблем пользователей.

Отечественный VPN похож на кофе. Как вкус и аромат кофе зависят от таланта баристы, так и VPN решения требуют правильного приготовления. На примере С-Терра VPN покажу, на что жалуются пользователи и как этого избежать.

Исходные данные

Я должен перевести 500 сотрудников на удаленную работу. Для этого использую С-Терра VPN версии 4.3. Из VPN продуктов мне нужен С-Терра Шлюз в центр и клиентское ПО С-Терра Клиент на ноутбуки сотрудников.

С-Терра Шлюз использую только для RA VPN. Все 500 пользователей подключаются к шлюзу в один момент времени.

Решение в лоб

В архитектуре IKE/IPsec одно клиентское подключение считается отдельным туннелем. Значит, мне нужен шлюз, способный поддерживать 500 туннелей одновременно. Открываю сайт вендора и вижу, что мне подходит три модели:

Модель шлюза
безопасности
Количество
одновременно работающих туннелей
С-Терра Шлюз 2000 500
С-Терра Шлюз 3000 1000
С-Терра Шлюз 7000 Не ограничено

Хочу сэкономить, беру С-Терра Шлюз 2000. Начинаю тихо ненавидеть мир.

Камень 1. Нужно время, чтобы построить 500 туннелей

Пользователь придет примерно с такой фразой: «Эта Эстера никогда с первого раза не подключается, прям совсем никогда!»

С-Терра Шлюз в RA VPN работает, как ответчик на клиентские подключения. По моим наблюдениям, в секунду строится где-то 10 туннелей (среднее значение для рассматриваемых
моделей шлюзов). Соответственно, чтобы построить 500 туннелей потребуется 50 секунд, округляю до честной минуты.

Нашему пользователю не везет. Каждый раз при подключении к шлюзу пользователь попадает в очередь. Нужно ждать до 60 секунд. Активный пользователь попытается перезапустить клиента и, тем самым, переподключиться, но попадет в конец очереди. Инструктируйте пользователя, что в таких ситуациях лучше подождать.

Камень 2. IPsec туннели периодически перестраиваются

Для пользователя это выглядит примерно так: «Эта Эстера периодически отваливается и вновь не подключается с первого раза!»

Время жизни IPsec туннеля ограничено либо количеством трафика, либо временем. При
перестроении туннеля генерируется новый сеансовый симметричный ключ шифрования.

А теперь представьте – туннели решили перестроиться плюс-минус одновременно. Снова очередь и проклятия. Чтобы этого избежать, на шлюзе безопасности нужно задать дельту (DELTA), которая случайным образом изменит время жизни каждого из туннелей.

Камень 3. Шлюзы безопасности ограничены в производительности шифрования

Открываю сайт вендора и вижу:

Модель шлюза
безопасности
Максимальная
производительность шифрования, Мбит/с
Производительность
шифрования IMIX, Мбит/с
С-Терра Шлюз 2000 380 250
С-Терра Шлюз 3000 1550 1180
С-Терра Шлюз 7000 3080 2030

На какую производительность ориентироваться?

На IMIX. Максимальная производительность шифрования, как правило, достигается на
пакетах большого размера, к реальной сети малоприменимо.

Чтобы избежать дропов, нестабильной работы и отключений, нужно оценить, какой средний объем трафика генерирует одно клиентское подключение. Например, мои пользователи используют RDP, почту и документооборот. Оцениваю трафик в 2Мбит/с в среднем на подключение. Итого имею 1000 Мбит/с. Добавлю запас на случай пиковой нагрузки по 1 Мбит/с на подключение, суммарно получаю 1500Мбит/с в пике для 500 одновременных подключений.

От С-Терра Шлюз 2000 отказываюсь. Смотрю в сторону С-Терра Шлюз 7000.

Решение в лоб: С-Терра Шлюз 7000 и 500 клиентов.

Оптимизация решения

Хочу отказоустойчивое решение, а также сократить время ожидания в очереди. Для этого рассматриваю варианты.

Два С-Терра Шлюз 3000

Клиентов разбалансирую пополам по 250 подключений. Максимальное время ожидания в очереди составит 250/10 примерно 25 секунд при первом подключении. Проблему с очередями при перестроении туннелей решу, задав DELTA. В случае выхода из строя одного из шлюзов, нагрузка переедет на второй шлюз (правда без запаса по производительности).

Пять С-Терра Шлюз 2000

Решение для максимального быстродействия. По 100 клиентских подключений на шлюз, максимальное время ожидания в очереди 10 секунд, но без запаса по производительности.

Прайс-лист у С-Терра открытый. Сравню стоимость приведенных решений (курс доллара взял 73 рубля):

Решение Цена, руб
С-Терра Шлюз 7000
+ 500 клиентов
4 533 270
2 х С-Терра Шлюз
3000 + 500 клиентов
4 564 680
5 х С-Терра Шлюз
2000 + 500 клиентов
4 980 300

Я выберу второй вариант. Два С-Терра Шлюз 3000 и 500 клиентов. 31 000 рублей за отказоустойчивость и сокращение времени в очереди хорошая цена. Система управления у вендора опциональна, если хотите – берите.

Итоги

Рецепт вкусного RA VPN:

  • Определите количество клиентских подключений:
  • Оцените средний объем трафика с клиентского подключения;
  • Балансируйте клиентские подключения на несколько шлюзов;
  • Учтите архитектурные особенности (очередь и перестроение).

Как говорит студент, раунд!

Анонимный инженер
t.me/anonimous.engineer

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *