Konfiguracja serwerów sieci VPN i zapory

Konfiguracja serwerów sieci VPN i zapory

Zaporę z serwerem sieci VPN można wykorzystywać na dwa sposoby.

•

Serwer sieci VPN przed zaporą. Serwer sieci VPN jest połączony z Internetem, a zapora znajduje
się między serwerem sieci VPN i intranetem.

•

Serwer sieci VPN za zaporą. Zapora jest połączona z Internetem, a serwer sieci VPN znajduje się
między zaporą i intranetem.

Serwer sieci VPN przed zaporą

Jeżeli serwer sieci VPN znajduje się przed zaporą i jest podłączony do Internetu, należy dodać do

interfejsu internetowego filtry pakietów zezwalające tylko na ruch sieci VPN pod adres IP interfejsu
internetowego serwera sieci VPN i odbieranie ruchu sieci VPN z tego adresu IP.

W przypadku odszyfrowywania tunelowanych danych przez serwer sieci VPN ruch przychodzący

jest  przekazywany  do  zapory.  Korzystając  z  filtrów,  zapora  zezwala  na  ruch  do  zasobów  intranetowych.
Ponieważ  tylko  ruch  przekazywany  przez  serwer  sieci  VPN  jest  generowany  przez  uwierzytelnionych
klientów  sieci  VPN,  w  tym  scenariuszu  filtrowanie  na  zaporze  można  wykorzystać  do  uniemożliwienia
użytkownikom  sieci  VPN  uzyskania  dostępu  do  określonych  zasobów  intranetowych.  Ponieważ  ruch
internetowy  dozwolony  w  intranecie  musi  być  przekazywany  przez  serwer  sieci  VPN,  ta  metoda
uniemożliwia również udostępnianie zasobów File Transfer Protocol (FTP) lub intranetowych zasobów sieci
Web w przypadku użytkowników internetowych spoza sieci VPN.

Następująca ilustracja przedstawia serwer sieci VPN przed zaporą.

W przypadku interfejsu internetowego na serwerze sieci VPN należy przy użyciu usługi Routing

i dostęp zdalny skonfigurować następujące filtry wejściowe i wyjściowe:

Filtry pakietów protokołu Point-to-Point Tunneling Protocol (PPTP)

Należy skonfigurować następujące filtry wejściowe i ustawić akcję filtrowania Porzuć wszystkie

pakiety oprócz tych, które spełniają poniższe kryteria:

•

Docelowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i docelowy port TCP 1723.

Ten filtr zezwala na ruch związany z konserwacją tunelu PPTP od klienta PPTP do serwera PPTP.

•

Docelowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i identyfikator protokołu IP 47.

Ten filtr zezwala na przekazywanie tunelowanych danych PPTP od klienta PPTP do serwera PPTP.

•

Docelowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i źródłowy (ustanowiony) port TCP 1723.

Ten filtr jest wymagany tylko wówczas, gdy serwer sieci VPN pełni rolę klienta sieci VPN (routera
wywołującego) w przypadku połączenia sieci VPN typu router-router. Ruch (ustanowiony) TCP jest
akceptowany tylko wówczas, gdy połączenie TCP zostało zainicjowane przez serwer sieci VPN.

Należy skonfigurować następujące filtry wyjściowe i ustawić akcję filtrowania Porzuć wszystkie

pakiety oprócz tych, które spełniają poniższe kryteria:

•

Źródłowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i źródłowy port TCP 1723.

Ten filtr zezwala na ruch związany z konserwacją tunelu PPTP od serwera sieci VPN do klienta sieci
VPN.

•

Źródłowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i identyfikator protokołu IP 47.

Ten filtr zezwala na przekazywanie tunelowanych danych PPTP od serwera sieci VPN do klienta
sieci VPN.

•

Źródłowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i docelowy port TCP 1723.

Ten filtr jest wymagany tylko wówczas, gdy serwer sieci VPN pełni rolę klienta sieci VPN (routera
wywołującego) w przypadku połączenia sieci VPN typu router-router. Ruch (ustanowiony) TCP jest
wysyłany tylko wówczas, gdy połączenie TCP zostało zainicjowane przez serwer sieci VPN.

Filtry pakietów protokołu Layer Two Tunneling Protocol z zabezpieczeniami protokołu
internetowego (L2TP/IPSec)

Należy skonfigurować następujące filtry wejściowe i ustawić akcję filtrowania Porzuć wszystkie

pakiety oprócz tych, które spełniają poniższe kryteria:

•

Docelowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i docelowy port UDP 500.

Ten filtr zezwala na ruch Internet Key Exchange (IKE) do serwera sieci VPN.

•

Docelowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i docelowy port UDP 1701.

Ten filtr zezwala na ruch L2TP od klienta sieci VPN do serwera sieci VPN.

•

Docelowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i docelowy port UDP 4500.

Ten filtr zezwala na przechodzenie translacji adresów sieciowych (NAT-T) protokołu IPSec.

Należy skonfigurować następujące filtry wyjściowe i ustawić akcję filtrowania Porzuć wszystkie

pakiety oprócz tych, które spełniają poniższe kryteria:

•

Źródłowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i źródłowy port UDP 500.

Ten filtr zezwala na ruch w usłudze IKE od serwera sieci VPN.

•

Źródłowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i źródłowy port UDP 1701.

Ten filtr zezwala na ruch L2TP od serwera sieci VPN do klienta sieci VPN.

•

Źródłowy adres IP interfejsu internetowego serwera sieci VPN, maska podsieci 255.255.255.255
i źródłowy port UDP 4500.

Ten filtr zezwala na ruch NAT-T protokołu IPSec.

Dla ruchu ESP (Encapsulating Security Payload) przekazywanego przez port 50 protokołu IP nie są

wymagane żadne filtry. Nagłówek ESP jest usuwany przez składniki protokołu IPSec przed przekazaniem
pakietów L2TP do usługi Routing i dostęp zdalny.

Ważne

•

Nie  jest  zalecane  wdrażanie  translacji  adresów  sieciowych  (NAT-T)  protokołu  IPSec  dla  systemu
Windows,  które  obejmuje  serwery  sieci  VPN  zlokalizowane  za  translatorami  adresów  sieciowych.
Gdy  serwer  znajduje  się  za  translatorem  adresów  sieciowych,  a  serwery  używają  translacji
adresów sieciowych (NAT-T) protokołu IPSec, może to spowodować nieoczekiwane zachowanie
ze względu na sposób translacji ruchu w sieci przez translatory adresów sieciowych.

Serwer sieci VPN za zaporą

W bardziej typowej konfiguracji zapora jest połączona z Internetem, a serwer sieci VPN jest

zasobem intranetowym połączonym z siecią graniczną. Serwer sieci VPN dysponuje zarówno interfejsem
sieci  granicznej,  jak  i  interfejsem  intranetowym.  W  tym  scenariuszu  zapora  musi  być  skonfigurowana
z  filtrami  wejściowymi  i  wyjściowymi  na  interfejsie  internetowym,  zezwalającymi  na  ruch  związany
z  konserwacją  tunelu  i  przekazywanie  tunelowanych  danych  do  serwera  sieci  VPN.  Dodatkowe  filtry
mogą  zezwalać  na  przekazywanie  ruchu  do  serwerów  sieci  Web,  serwerów  FTP  i  serwerów  innego  typu
w  sieci  granicznej.  W  przypadku  dodatkowej warstwy zabezpieczeń  serwer  sieci  VPN  może  być  również
skonfigurowany z filtrami pakietów protokołu PPTP lub L2TP/IPSec na interfejsie sieci granicznej.

Ponieważ zapora nie dysponuje kluczami szyfrowania dla każdego połączenia sieci VPN, może

ona  filtrować  tylko  nagłówki  tunelowanych  danych  w  formacie  zwykłego  tekstu.  Inaczej  mówiąc,
wszystkie  tunelowane  dane  są  przekazywane  przez  zaporę.  Nie  jest  to  zagadnienie  związane
z  zabezpieczeniami,  jednak  proces  uwierzytelniania  jest  wymagany  w  przypadku  połączenia  sieci  VPN,
dlatego takie rozwiązanie zapobiega nieautoryzowanemu dostępowi poza serwerem sieci VPN.

Następująca ilustracja przedstawia serwer sieci VPN za zaporą w sieci granicznej.

Zarówno w przypadku interfejsu internetowego, jak i interfejsu sieci granicznej, na zaporze należy

skonfigurować następujące filtry wejściowe i wyjściowe przy użyciu oprogramowania służącego do
konfiguracji zapory:

Filtry pakietów protokołu PPTP

Na interfejsie internetowym i interfejsie sieci granicznej można skonfigurować osobne wejściowe

i wyjściowe filtry pakietów.

Filtry interfejsu internetowego

Należy skonfigurować następujące filtry wejściowe pakietów na interfejsie internetowym zapory

zezwalające na następujące typy ruchu:

•

Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port TCP 1723 (0x6BB).
Ten filtr zezwala na ruch związany z konserwacją tunelu PPTP od klienta PPTP do serwera PPTP.

•

Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 47
(0x2F).
Ten filtr zezwala na przekazywanie tunelowanych danych PPTP od klienta PPTP do serwera PPTP.

•

Docelowy  adres  IP  interfejsu  sieci  granicznej  serwera  sieci  VPN  i  źródłowy  port  TCP  1723  (0x6BB).
Ten  filtr  jest  wymagany  tylko  wówczas,  gdy  serwer  sieci  VPN  pełni  rolę  klienta  sieci  VPN  (routera
wywołującego)  w  przypadku  połączenia  sieci  VPN  typu  router-router.  Tego  filtru  należy  używać
tylko  w  połączeniu  z  filtrami  pakietów  protokołu  PPTP  opisanymi  w  scenariuszu  Serwer  sieci  VPN
przed  zaporą  i  należy  go  skonfigurować  na  interfejsie  sieci  granicznej  serwera  sieci  VPN.
Zezwolenie  na  wszelki  ruch  do  serwera  sieci  VPN  z  portu  TCP  1723  umożliwia  ataki  sieciowe
ze źródeł w Internecie używających tego portu.

Należy skonfigurować następujące filtry wyjściowe na interfejsie internetowym zapory,

zezwalające na następujące typy ruchu:

•

Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i źródłowy port TCP 1723 (0x6BB).
Ten filtr zezwala na ruch związany z konserwacją tunelu PPTP od serwera sieci VPN do klienta sieci
VPN.

•

Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 47 (0x2F).
Ten filtr zezwala na przekazywanie tunelowanych danych PPTP od serwera sieci VPN do klienta
sieci VPN.

•

Źródłowy  adres  IP  interfejsu  sieci  granicznej  serwera  sieci  VPN  i  docelowy  port  TCP  1723  (0x6BB).
Ten  filtr  jest  wymagany  tylko  wówczas,  gdy  serwer  sieci  VPN  pełni  rolę  klienta  sieci  VPN  (routera
wywołującego)  w  przypadku  połączenia  sieci  VPN  typu  router-router.  Tego  filtru  należy  używać
tylko  w  połączeniu  z  filtrami  pakietów  protokołu  PPTP  opisanymi  w  scenariuszu  Serwer  sieci  VPN
przed  zaporą  i  należy  go  skonfigurować  na  interfejsie  sieci  granicznej  serwera  sieci  VPN.
Zezwolenie  na  wszelki  ruch  od  serwera  sieci  VPN  do  portu  TCP  1723  umożliwia  ataki  sieciowe
ze źródeł w Internecie używających tego portu.

Filtry interfejsu sieci granicznej

Należy skonfigurować następujące filtry wejściowe na interfejsie sieci granicznej zapory,

zezwalające na następujące typy ruchu:

•

Należy skonfigurować następujące wyjściowe filtry pakietów na interfejsie sieci granicznej,

zezwalające na następujące typy ruchu:

•

Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port TCP 1723 (0x6BB).
Ten filtr zezwala na ruch związany z konserwacją tunelu PPTP od klienta PPTP do serwera PPTP.

•

Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 47
(0x2F).
Ten filtr zezwala na przekazywanie tunelowanych danych PPTP od klienta PPTP do serwera PPTP.

•

Docelowy  adres  IP  interfejsu  sieci  granicznej  serwera  sieci  VPN  i  źródłowy  port  TCP  1723  (0x6BB).
Ten  filtr  jest  wymagany  tylko  wówczas,  gdy  serwer  sieci  VPN  pełni  rolę  klienta  sieci  VPN  (routera
wywołującego)  w  przypadku  połączenia  sieci  VPN  typu  router-router.  Tego  filtru  należy  używać
tylko  w  połączeniu  z  filtrami  pakietów  protokołu  PPTP  opisanymi  w  scenariuszu  Serwer  sieci  VPN
przed  zaporą  i  należy  go  skonfigurować  na  interfejsie  sieci  granicznej  serwera  sieci  VPN.
Zezwolenie  na  wszelki  ruch  do  serwera  sieci  VPN  od  portu  TCP  1723  umożliwia  ataki  sieciowe
ze źródeł w Internecie używających tego portu.

Filtry pakietów protokołu L2TP/IPSec

Na interfejsie internetowym i interfejsie sieci granicznej można skonfigurować osobne wejściowe

i wyjściowe filtry pakietów.

Filtry interfejsu internetowego

Należy skonfigurować następujące filtry wejściowe pakietów na interfejsie internetowym zapory

zezwalające na następujące typy ruchu:

•

Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port UDP 500 (0x1F4).
Ten filtr zezwala na ruch IKE do serwera sieci VPN.

•

Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port UDP 4500 (0x1194).
Ten filtr zezwala na ruch NAT-T protokołu IPSec do serwera sieci VPN.

•

Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 50
(0x32).
Ten filtr zezwala na ruch w protokole IPSec ESP od klienta sieci VPN do serwera sieci VPN.

Należy skonfigurować następujące wyjściowe filtry pakietów na interfejsie internetowym zapory,

zezwalające na następujące typy ruchu:

•

Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i źródłowy port UDP 500 (0x1F4).
Ten filtr zezwala na ruch w usłudze IKE od serwera sieci VPN.

•

Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i źródłowy port UDP 4500.
Ten filtr zezwala na ruch NAT-T protokołu IPSec od serwera sieci VPN.

•

Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 50 (0x32).
Ten filtr zezwala na ruch w protokole IPSec ESP od serwera sieci VPN do klienta sieci VPN.

Żadne filtry nie są wymagane dla ruchu L2TP przekazywanego przez port UDP 1701. Cały ruch L2TP

na zaporze, włącznie z ruchem dotyczącym konserwacji tunelu i tunelowanymi danymi, jest szyfrowany
jako ładunek protokołu IPSec ESP.

Ważne

•

Filtry interfejsu sieci granicznej

Należy skonfigurować następujące wejściowe filtry pakietów na interfejsie sieci granicznej zapory,

zezwalające na następujące typy ruchu:

•

Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i źródłowy port UDP 500 (0x1F4).
Ten filtr zezwala na ruch w usłudze IKE od serwera sieci VPN.

•

Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i źródłowy port UDP 4500.
Ten filtr zezwala na ruch NAT-T protokołu IPSec od serwera sieci VPN.

•

Źródłowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 50 (0x32).
Ten filtr zezwala na ruch w protokole IPSec ESP od serwera sieci VPN do klienta sieci VPN.

Należy skonfigurować następujące wyjściowe filtry pakietów na interfejsie sieci granicznej

zezwalające na następujące typy ruchu:

•

Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port UDP 500 (0x1F4).
Ten filtr zezwala na ruch w usłudze IKE do serwera sieci VPN.

•

Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i docelowy port UDP 4500 (0x1194).
Ten filtr zezwala na ruch NAT-T protokołu IPSec do serwera sieci VPN.

•

Docelowy adres IP interfejsu sieci granicznej serwera sieci VPN i identyfikator protokołu IP 50
(0x32).
Ten filtr zezwala na ruch w protokole IPSec ESP od klienta sieci VPN do serwera sieci VPN.

Żadne filtry nie są wymagane dla ruchu L2TP przekazywanego przez port UDP 1701. Cały ruch L2TP

na zaporze, włącznie z ruchem dotyczącym konserwacji tunelu i tunelowanymi danymi, jest szyfrowany
jako ładunek protokołu IPSec ESP.

Ważne

•