用ISA Server 2004及其VPN功能杜绝上网IP被盗用

原创 2007年09月22日 17:58:00
 

HTML Tags and JavaScript tutorial



用ISA Server 2004及其VPN功能杜绝上网IP被盗用





用ISA Server 2004及其VPN功能杜绝上网IP被盗用
以前的文章,收集整理之
上网IP被盗用是很多网管员遇到的头痛事,从技术上来说,要真正杜绝这种现象,可靠的方法就是使用支持端口绑定的交换机,但实际上大家通常使用的普通交换机并不支持这种功能,而很多人说的通过把IP与MAC地址进行绑定来防范IP盗用更是不堪一击,因为客户端成对修改IP与MAC后这种方法就无能为力了。在这里将推荐一种方法,即使用代理服务器结合VPN服务来杜绝上网IP被盗用,准确地说也不是能够阻止客户端修改IP和MAC地址,而是让它修改后也不起作用,或许你现在有点疑惑,到底怎样实现呢?效果如何呢?follow
 me。
网络结构
先来交代一下本文将使用的网络环境和基本配置,网络结构如图1所示,这个网络结构也是典型的ADSL共享上网环境,本文使用的代理服务器是ISA
 Server
 2004,VPN服务也由ISA所在服务器提供,操作系统是Windows
 server
 2003,之所以选择ISA
 2004,是因为它对VPN的支持更适宜解决我们这里的论题,到底怎样后面将讲到。图中ISA有两块网卡,一块连接到DSL
 Router,一块连接内部网络。内网卡IP为192.168.0.43/24,DNS配置为ISP提供的61.128.128.68,网关无。Internal客户端的网关指向192.168.0.43,DNS指向ISP提供的61.128.128.68。还有一个由VPN客户端连接时动态生成的虚拟VPN客户端网络。
500)this.width=500" border=0>
 
实现的基本过程及原理
首先在ISA上创建访问规则拒绝内网Internal上网,当Internal网内客户机要上网时,就先通过VPN连接到ISA上,由ISA分配给它一个不同于Internal网段的IP地址和一个DNS设置,并创建访问规则允许VPN客户端网络上网,这样就只有那些通过VPN连接的客户端才能上网,当然这些能够进行VPN连接的客户端就是有上网权限的客户端,注意这里可能出现另一种情况,就是用户把自己的VPN帐户和密码告诉其他非法用户,这样非法用户只要用他得到的VPN帐户登录也就能够上网,怎样来避免这种情况呢?我们可以在地址分配时作文章,只让相关帐户第一个登录者能够上网,具体实现后面将详述。另外注意这里的VPN连接与我们平常所使用的VPN连接是有点不同的,通常所使用的VPN连接,是由外部连接到VPN服务器,而这里是直接从内部连接到VPN服务器,这也就保证了上网的速度。其实这种方法很类似网通用户的上网方式,网通用户也是通过LAN方式连网,但要上网时也要先使用虚拟ADSL拨号取得上网用的IP及设置。只是网通使用的是ADSL虚拟拨号,而我们这里使用的是VPN拨号,基本思路都是一样的。
现在你也许要问,如果非法客户端把IP改成VPN客户端网络内的一个地址不就绕过了这道防线吗?不行的,即使它修改了IP也是没用的。原因:
1,对ISA
 2004来说,VPN客户端网络是动态生成的,也就是只有VPN连接成功才是其网络的成员,所以自行修改IP后并不会成为VPN客户端网络的成员,
 ISA会拒绝其上网;
2,如果你的代理服务器不是ISA,即使当客户端修改IP后代理服务器允许其上网,但响应数据包也无法返回给此客户端,所以修改IP也无济与事,当然成对修改IP与MAC在这里也无意义。为了说明这种情况,下面来举个例子:
假如我们这里VPN客户端网络的IP地址范围是150.0.1.0/24中的一部分,现在有个非法的客户端192.168.0.42把它的IP变成了150.0.1.228,
 当然它网关设置不能变,还是192.168.0.43,此时它要访问外部网页,即使它的请求数据能够到达外部,当外部响应数据返回代理服务器时,代理服务器要把数据包返回给150.0.1.228,根据代理服务器的路由表,到达150.0.1.0网络的数据包不会通过物理接口192.168.0.43转发,所以数据包也就不能到达150.0.1.228。从这点可以看出,不使用ISA而使用其他能够进行IP限制的代理服务器也是可行的,当然ISA功能更加强大。
 
 
实现的具体过程
了解了上面的原理,具体实现也就简单了,主要分以下几大步:
一、 在ISA上创建访问规则(Access
 Rule),拒绝Internal网上网,并把它的规则顺序放在第一,这样ISA处理起来更快。
本来如果没有明确允许Internal上网的规则,ISA会拒绝Internal网络访问外部网的,但为了提高效率,我们可以创建一条明确的拒绝规则。右击Firewall
 Policy,选择“新建/Access
 Rule”,参数如下:
Rule
 Action:Deny
Protocols:All
 outbound
 traffic
Access
 Rule
 sources:
 Internal
Access
 Rule
 Destinations:External
User
 sets:All
 users
二、 启用VPN服务器
ISA所使用的VPN服务其实就是操作系统本身的,通过下面的步骤来完成。
1, 在ISA管理窗口中选中Virtual
 Private
 Network,在右边的Task面板上点击
 Tasks
 标签,然后慊?I>
 Enable
 VPN
 Client
 Access
 链接。
2, 点击下面的configure
 VPN
 client
 Access链接,弹出如图2所示的窗口,
500)this.width=500" border=0>
在General标签中选中Enable
 VPN
 Client
 access,并在下面的Maximum
 number
 of
 VPN
 clients
 allowed框中填入VPN客户端数量,然后进入Groups标签,选中可以使用VPN的用户组,这个用户组既可以是域用户组也可以ISA本地用户组,我们这里选择ISA本地用户组,如果没有这样的组,可以马上到“计算机管理”工具中创建一个,这个组应该包含所有能够进行VPN连接的用户,创建组并非是必须的,但这样做方便管理。然后进入Protocols标签,选择Enable
 PPTP项,不必选择Enable
 L2TP/IPSEC。
3, 点击Tasks下的select
 Access
 Networks链接,弹出新窗口(如图3),在Access
 Networks标签中选中Internal网络,表明允许从Internal网络连接到VPN服务器,如果允许从外部连接到VPN服务器,也可以选中External项;然后进入Address
 Assignment标签,在这里设置分配给VPN客户端的IP地址段,怎样分配IP才合适呢?前面讲实现原理时就说过我们需要考虑另一种情况,就是如果用户把他的VPN帐户与其他人“共享”怎么办呢?因为windows的VPN服务并不会禁止同一VPN帐户同一时间在不同客户端进行登录,这就使得用户把自己的VPN用户名和密码与非法用户共享成为可能,要防范这种情况出现,可以采用下面的方法:在这里分配一段IP地址,但同时在用户属性中为每个合法用户单独分配一个IP(具体方法后面将讲到),这样,当VPN帐户登录时,他将得到为他单独分配的IP,如果此时又有人用他的VPN帐户连接VPN服务器,连接也能成功,但由于那个单独分配的IP前面已经在使用了,所以此时将为他分配一个这里IP段中的一个地址(如图3),基于此,我们可以创建一种访问规则,允许那些单独分配的IP地址集上网,但对这里分配的IP范围则不允许其上网,虽然这种方法并不能杜绝与人共享帐户,但至少也会使用户不会那么大方地共享自己的帐户,因为当别人使用自己帐户的时候,自己是不能上网的。我们这里在static
 address
 pool指定一段静态IP地址,就取172.16.0.1-172.16.0.254吧,那些单独分配的IP就从150.0.1.224-150.0.1.231段中获得,
 当然具体范围应该根据你VPN客户端的数量而定。接下来在Use
 the
 following
 network
 to
 obtain
 DHCP,DNS
 and
 WINS
 Services选择Internal,这里是配置把那块网卡的DNS和WINS等参数分配给VPN客户端,这里选择了Internal,将把内网卡所设置的DNS分配给VPN客户端,即61.128.128.68(如图4)。
500)this.width=500" border=0>
图3
500)this.width=500" border=0>
图4
 
 
三、 启用相关用户的VPN访问权限
进入ISA的“计算机管理”工具(如果是域用户请在“AD用户与计算机”管理工具中进行),在这个管理窗口中,你需要做以下几件事:
1, 创建相关用户并设置初始密码,选中“用户下次登录时须更改密码”;
2, 把用户加入图2选择的VPN用户组;
3,右击用户,进入其属性窗口,在“拨入”标签中选择“允许访问”项,并选中“分配静态IP地址”项,填入一个IP,根据上面的讨论,我们从150.0.1.224-150.0.1.231中选择一个(如图5)。
 
500)this.width=500" border=0>
四、 为不同的VPN客户端范围上网创建不同的访问规则
根据上面不同的VPN客户端IP段,我们也需要创建不同的规则,对于172.16.0.1-172.16.0.254段的VPN客户端,拒绝他们上网,而对150.0.1.228-150.0.1.23段的VPN客户端,则允许其上网:
 
1, 选中Firewall
 Policy,点击Toolbox下的Network
 Objects;
2, 点击New/Address
 range,新建两个Address
 range,一个是允许上网的VPN客户端,假如就叫VPN
 YES吧,IP范围是150.0.1.228-150.0.1.231,另一个是不允许上网的VPN客户端,名字就叫VPN
 NO,IP范围是172.16.0.1-172.16.0.254,
3, 创建两条规则
规则1:name:VPN
 YES
Rule
 Action:Allow
Protocols:All
 outbound
 traffic
Access
 Rule
 sources:
 Address
 Ranges/VPN
 YES
Access
 Rule
 Destinations:External和Local
 host
User
 sets:(图2选择的VPN用户组)
规则2:
name:VPN
 NO
Rule
 Action:Deny
Protocols:All
 outbound
 traffic
Access
 Rule
 sources:
 Address
 Ranges
 /VPN
 NO
Access
 Rule
 Destinations:External
User
 sets:all
 users
五、在客户端创建VPN连接,操作路径是“开始/设置/网络连接/新建连接向导”,参数如下:
网络连接类型:连接到我的工作场所的网络
网络连接:虚拟专用网络连接
公司名:随便取个有意义的名字,比如“上网拨号”
公用网络:不拨初始连接
VPN服务器选择:输入Internal网卡的IP,这里是192.168.0.43
可用连接:任何人使用
最后选中“在我的桌面上添加一个到此连接的快捷方式”。这样配置后,当要上网时,用户就先用自己的VPN帐户进行VPN连接,连接之后就能上网了。
结语
虽然这种方法不错,但毕竟用户仍有共享VPN帐户的可能,当然也有更好的办法来对付这种情况,比如Windows
 Server
 2003就支持一种Network
 Quarantine
 and
 Remote
 Access的新功能,它可以让VPN客户端连接时运行检查脚本,只有在满足某种条件后才能进行完全自由的访问,在这里我们就可以利用这种功能,比如当VPN客户端连接时运行反向DNS查询,看其查询是否成功来检验客户端的合法性(当然还要有相关的DNS服务器配置),它的具体执行又得另一篇文章来完成了,如果可能,下次再来谈这个问题。另外可能有人会说了,ISA本身就支持使用用户来限制访问,何必要费力这样做,直接使用用户来限制上网不就行了,确实如此,但使用ISA的用户方式来限制上网有几点不方便的地方,何况还有一些不支持用户限制的代理服务器呢?
1,ISA要使用用户限制的话需要在客户端安装防火墙客户端软件,这对那些不是域网络的管理员来说可能是一件麻烦事;
2, 如果是用域用户来验证,客户端必须登录到域,如果客户端是登录到本机的,用户将不能通过验证。
而使用此文所说方法的好处是:
1, 无需要另外安装防火墙客户端软件,并且VPN的用户信息也可以用于规则中。
2, 对客户端登录到域还是本机没有特定的要求。
3, 共享帐户问题也有较好的解决方法。
4, 让客户端修改IP和MAC方法失效。
总的来说,本文主要是为大家防范IP盗用提供一种新的思路,到底选择什么方法还是得根据自身的情况来定。
 


启用ISA Server 2004 的VPN服务器

(译自Thomas W Shinder, 微软ISA Server MVP,“Enabling the ISA Server 2004 VPN Server”)   ISA Server 2004防火...
  • hrstudy
  • hrstudy
  • 2004年11月16日 17:12
  • 1922

完整版本:ISA 2004初学者禁止QQ上网详解

完整版本:ISA 2004初学者禁止QQ上网详解ISA中文站 > ISA Server > ISA Server 2004doitwhere2004年9月13日 12:31前言写下本文的目的只有一个:...
  • ecrown
  • ecrown
  • 2005年03月08日 02:38
  • 7673

局域网内如何盗用别人的IP上网

现在很多局域网都根据IP地址的不同,给不同IP地址分配不同资源;或则网内自己ip由于一些原因被封掉,不能访问外网;这些时候可能我们可能就需要先借别人的IP用用了。下面分两种情况来介绍具体的方法:一、I...
  • yourlin
  • yourlin
  • 2006年09月04日 18:53
  • 6106

解决IP盗用问题的三种技术手段

局域网上若有两台主机IP地址相同,则两台主机相互报警,造成应用混乱。因此,IP地址盗用成了网管员最头疼的问题。当几百台、甚至上千台主机同时上网,如何控制IP地址盗用?   引入问题   对于集团用户而...
  • heyongzhou
  • heyongzhou
  • 2001年10月07日 16:29
  • 939

ISA VPN配置(简易)

1 远程访问的VPN1.1 打开isa控制台--虚拟专用网络---配置启用客户端访问1.2 打开isa控制台--虚拟专用网络---定义地址池1.3 在isa server上创建相应的vpn账号,并允许...
  • zyqml
  • zyqml
  • 2007年11月14日 09:45
  • 1633

设置让vpn用户通过vpn服务器上网

1.准备工作 .|!w4U 确保下面两个服务是开启的状态 CODE: Server Remote Registry Service 如果没有这两个服务,不能启动rras的.; -...
  • lgh1992314
  • lgh1992314
  • 2014年06月20日 23:00
  • 1781

Linux下通过Windows的ISA代理认证上网

ISA的http代理有2种形式: 一种是基本的认证方式,即base认证,具体表现为如果http的请求头里没有base_authenticate字段则会返回401错误;要进行base认证的方法很简...
  • five3
  • five3
  • 2012年07月13日 16:42
  • 3150

手机用了VPN可以免费上网吗?

很多新手VPN用户往往会产生这样的问题,手机连接VPN后,流量通过VPN走.是不是手机上网费用就不会产生了.答案是否定的!VPN是基于网络的,不管你用2G,3G,4G还是wifi,必须在有网络的情况下...
  • cmy0228
  • cmy0228
  • 2016年05月27日 13:19
  • 982

网易邮箱被盗用记录

背景早上导出在icloud上导出通讯录操作时,执行解除手机的双重验证功能,需要输入验证邮箱,就输入另一个2007年注册的邮箱帐号,登录该邮箱查看验证码的时候,发现该邮箱有大量退信邮件高达3000多封。...
  • wojiushiwo945you
  • wojiushiwo945you
  • 2017年06月18日 08:21
  • 525

学习ISA——《ISA Server 2004概览》

微软的TechNet视频关于ISA Server 2004终极标靶系列之一:ISA Server 2004概览 本来上上周就计划着每天晚上看一个视频,然后没看完一个视频就写一博客的。 今天...
  • james230932
  • james230932
  • 2011年11月10日 21:03
  • 336
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:用ISA Server 2004及其VPN功能杜绝上网IP被盗用
举报原因:
原因补充:

(最多只允许输入30个字)