用ISA Server 2004及其VPN功能杜绝上网IP被盗用

原创 2007年09月22日 17:58:00
 

HTML Tags and JavaScript tutorial



用ISA Server 2004及其VPN功能杜绝上网IP被盗用





用ISA Server 2004及其VPN功能杜绝上网IP被盗用
以前的文章,收集整理之
上网IP被盗用是很多网管员遇到的头痛事,从技术上来说,要真正杜绝这种现象,可靠的方法就是使用支持端口绑定的交换机,但实际上大家通常使用的普通交换机并不支持这种功能,而很多人说的通过把IP与MAC地址进行绑定来防范IP盗用更是不堪一击,因为客户端成对修改IP与MAC后这种方法就无能为力了。在这里将推荐一种方法,即使用代理服务器结合VPN服务来杜绝上网IP被盗用,准确地说也不是能够阻止客户端修改IP和MAC地址,而是让它修改后也不起作用,或许你现在有点疑惑,到底怎样实现呢?效果如何呢?follow
 me。
网络结构
先来交代一下本文将使用的网络环境和基本配置,网络结构如图1所示,这个网络结构也是典型的ADSL共享上网环境,本文使用的代理服务器是ISA
 Server
 2004,VPN服务也由ISA所在服务器提供,操作系统是Windows
 server
 2003,之所以选择ISA
 2004,是因为它对VPN的支持更适宜解决我们这里的论题,到底怎样后面将讲到。图中ISA有两块网卡,一块连接到DSL
 Router,一块连接内部网络。内网卡IP为192.168.0.43/24,DNS配置为ISP提供的61.128.128.68,网关无。Internal客户端的网关指向192.168.0.43,DNS指向ISP提供的61.128.128.68。还有一个由VPN客户端连接时动态生成的虚拟VPN客户端网络。
500)this.width=500" border=0>
 
实现的基本过程及原理
首先在ISA上创建访问规则拒绝内网Internal上网,当Internal网内客户机要上网时,就先通过VPN连接到ISA上,由ISA分配给它一个不同于Internal网段的IP地址和一个DNS设置,并创建访问规则允许VPN客户端网络上网,这样就只有那些通过VPN连接的客户端才能上网,当然这些能够进行VPN连接的客户端就是有上网权限的客户端,注意这里可能出现另一种情况,就是用户把自己的VPN帐户和密码告诉其他非法用户,这样非法用户只要用他得到的VPN帐户登录也就能够上网,怎样来避免这种情况呢?我们可以在地址分配时作文章,只让相关帐户第一个登录者能够上网,具体实现后面将详述。另外注意这里的VPN连接与我们平常所使用的VPN连接是有点不同的,通常所使用的VPN连接,是由外部连接到VPN服务器,而这里是直接从内部连接到VPN服务器,这也就保证了上网的速度。其实这种方法很类似网通用户的上网方式,网通用户也是通过LAN方式连网,但要上网时也要先使用虚拟ADSL拨号取得上网用的IP及设置。只是网通使用的是ADSL虚拟拨号,而我们这里使用的是VPN拨号,基本思路都是一样的。
现在你也许要问,如果非法客户端把IP改成VPN客户端网络内的一个地址不就绕过了这道防线吗?不行的,即使它修改了IP也是没用的。原因:
1,对ISA
 2004来说,VPN客户端网络是动态生成的,也就是只有VPN连接成功才是其网络的成员,所以自行修改IP后并不会成为VPN客户端网络的成员,
 ISA会拒绝其上网;
2,如果你的代理服务器不是ISA,即使当客户端修改IP后代理服务器允许其上网,但响应数据包也无法返回给此客户端,所以修改IP也无济与事,当然成对修改IP与MAC在这里也无意义。为了说明这种情况,下面来举个例子:
假如我们这里VPN客户端网络的IP地址范围是150.0.1.0/24中的一部分,现在有个非法的客户端192.168.0.42把它的IP变成了150.0.1.228,
 当然它网关设置不能变,还是192.168.0.43,此时它要访问外部网页,即使它的请求数据能够到达外部,当外部响应数据返回代理服务器时,代理服务器要把数据包返回给150.0.1.228,根据代理服务器的路由表,到达150.0.1.0网络的数据包不会通过物理接口192.168.0.43转发,所以数据包也就不能到达150.0.1.228。从这点可以看出,不使用ISA而使用其他能够进行IP限制的代理服务器也是可行的,当然ISA功能更加强大。
 
 
实现的具体过程
了解了上面的原理,具体实现也就简单了,主要分以下几大步:
一、 在ISA上创建访问规则(Access
 Rule),拒绝Internal网上网,并把它的规则顺序放在第一,这样ISA处理起来更快。
本来如果没有明确允许Internal上网的规则,ISA会拒绝Internal网络访问外部网的,但为了提高效率,我们可以创建一条明确的拒绝规则。右击Firewall
 Policy,选择“新建/Access
 Rule”,参数如下:
Rule
 Action:Deny
Protocols:All
 outbound
 traffic
Access
 Rule
 sources:
 Internal
Access
 Rule
 Destinations:External
User
 sets:All
 users
二、 启用VPN服务器
ISA所使用的VPN服务其实就是操作系统本身的,通过下面的步骤来完成。
1, 在ISA管理窗口中选中Virtual
 Private
 Network,在右边的Task面板上点击
 Tasks
 标签,然后慊?I>
 Enable
 VPN
 Client
 Access
 链接。
2, 点击下面的configure
 VPN
 client
 Access链接,弹出如图2所示的窗口,
500)this.width=500" border=0>
在General标签中选中Enable
 VPN
 Client
 access,并在下面的Maximum
 number
 of
 VPN
 clients
 allowed框中填入VPN客户端数量,然后进入Groups标签,选中可以使用VPN的用户组,这个用户组既可以是域用户组也可以ISA本地用户组,我们这里选择ISA本地用户组,如果没有这样的组,可以马上到“计算机管理”工具中创建一个,这个组应该包含所有能够进行VPN连接的用户,创建组并非是必须的,但这样做方便管理。然后进入Protocols标签,选择Enable
 PPTP项,不必选择Enable
 L2TP/IPSEC。
3, 点击Tasks下的select
 Access
 Networks链接,弹出新窗口(如图3),在Access
 Networks标签中选中Internal网络,表明允许从Internal网络连接到VPN服务器,如果允许从外部连接到VPN服务器,也可以选中External项;然后进入Address
 Assignment标签,在这里设置分配给VPN客户端的IP地址段,怎样分配IP才合适呢?前面讲实现原理时就说过我们需要考虑另一种情况,就是如果用户把他的VPN帐户与其他人“共享”怎么办呢?因为windows的VPN服务并不会禁止同一VPN帐户同一时间在不同客户端进行登录,这就使得用户把自己的VPN用户名和密码与非法用户共享成为可能,要防范这种情况出现,可以采用下面的方法:在这里分配一段IP地址,但同时在用户属性中为每个合法用户单独分配一个IP(具体方法后面将讲到),这样,当VPN帐户登录时,他将得到为他单独分配的IP,如果此时又有人用他的VPN帐户连接VPN服务器,连接也能成功,但由于那个单独分配的IP前面已经在使用了,所以此时将为他分配一个这里IP段中的一个地址(如图3),基于此,我们可以创建一种访问规则,允许那些单独分配的IP地址集上网,但对这里分配的IP范围则不允许其上网,虽然这种方法并不能杜绝与人共享帐户,但至少也会使用户不会那么大方地共享自己的帐户,因为当别人使用自己帐户的时候,自己是不能上网的。我们这里在static
 address
 pool指定一段静态IP地址,就取172.16.0.1-172.16.0.254吧,那些单独分配的IP就从150.0.1.224-150.0.1.231段中获得,
 当然具体范围应该根据你VPN客户端的数量而定。接下来在Use
 the
 following
 network
 to
 obtain
 DHCP,DNS
 and
 WINS
 Services选择Internal,这里是配置把那块网卡的DNS和WINS等参数分配给VPN客户端,这里选择了Internal,将把内网卡所设置的DNS分配给VPN客户端,即61.128.128.68(如图4)。
500)this.width=500" border=0>
图3
500)this.width=500" border=0>
图4
 
 
三、 启用相关用户的VPN访问权限
进入ISA的“计算机管理”工具(如果是域用户请在“AD用户与计算机”管理工具中进行),在这个管理窗口中,你需要做以下几件事:
1, 创建相关用户并设置初始密码,选中“用户下次登录时须更改密码”;
2, 把用户加入图2选择的VPN用户组;
3,右击用户,进入其属性窗口,在“拨入”标签中选择“允许访问”项,并选中“分配静态IP地址”项,填入一个IP,根据上面的讨论,我们从150.0.1.224-150.0.1.231中选择一个(如图5)。
 
500)this.width=500" border=0>
四、 为不同的VPN客户端范围上网创建不同的访问规则
根据上面不同的VPN客户端IP段,我们也需要创建不同的规则,对于172.16.0.1-172.16.0.254段的VPN客户端,拒绝他们上网,而对150.0.1.228-150.0.1.23段的VPN客户端,则允许其上网:
 
1, 选中Firewall
 Policy,点击Toolbox下的Network
 Objects;
2, 点击New/Address
 range,新建两个Address
 range,一个是允许上网的VPN客户端,假如就叫VPN
 YES吧,IP范围是150.0.1.228-150.0.1.231,另一个是不允许上网的VPN客户端,名字就叫VPN
 NO,IP范围是172.16.0.1-172.16.0.254,
3, 创建两条规则
规则1:name:VPN
 YES
Rule
 Action:Allow
Protocols:All
 outbound
 traffic
Access
 Rule
 sources:
 Address
 Ranges/VPN
 YES
Access
 Rule
 Destinations:External和Local
 host
User
 sets:(图2选择的VPN用户组)
规则2:
name:VPN
 NO
Rule
 Action:Deny
Protocols:All
 outbound
 traffic
Access
 Rule
 sources:
 Address
 Ranges
 /VPN
 NO
Access
 Rule
 Destinations:External
User
 sets:all
 users
五、在客户端创建VPN连接,操作路径是“开始/设置/网络连接/新建连接向导”,参数如下:
网络连接类型:连接到我的工作场所的网络
网络连接:虚拟专用网络连接
公司名:随便取个有意义的名字,比如“上网拨号”
公用网络:不拨初始连接
VPN服务器选择:输入Internal网卡的IP,这里是192.168.0.43
可用连接:任何人使用
最后选中“在我的桌面上添加一个到此连接的快捷方式”。这样配置后,当要上网时,用户就先用自己的VPN帐户进行VPN连接,连接之后就能上网了。
结语
虽然这种方法不错,但毕竟用户仍有共享VPN帐户的可能,当然也有更好的办法来对付这种情况,比如Windows
 Server
 2003就支持一种Network
 Quarantine
 and
 Remote
 Access的新功能,它可以让VPN客户端连接时运行检查脚本,只有在满足某种条件后才能进行完全自由的访问,在这里我们就可以利用这种功能,比如当VPN客户端连接时运行反向DNS查询,看其查询是否成功来检验客户端的合法性(当然还要有相关的DNS服务器配置),它的具体执行又得另一篇文章来完成了,如果可能,下次再来谈这个问题。另外可能有人会说了,ISA本身就支持使用用户来限制访问,何必要费力这样做,直接使用用户来限制上网不就行了,确实如此,但使用ISA的用户方式来限制上网有几点不方便的地方,何况还有一些不支持用户限制的代理服务器呢?
1,ISA要使用用户限制的话需要在客户端安装防火墙客户端软件,这对那些不是域网络的管理员来说可能是一件麻烦事;
2, 如果是用域用户来验证,客户端必须登录到域,如果客户端是登录到本机的,用户将不能通过验证。
而使用此文所说方法的好处是:
1, 无需要另外安装防火墙客户端软件,并且VPN的用户信息也可以用于规则中。
2, 对客户端登录到域还是本机没有特定的要求。
3, 共享帐户问题也有较好的解决方法。
4, 让客户端修改IP和MAC方法失效。
总的来说,本文主要是为大家防范IP盗用提供一种新的思路,到底选择什么方法还是得根据自身的情况来定。
 


isa 2004vpn制作

  • 2011年07月20日 14:40
  • 4.19MB
  • 下载

学习ISA——《ISA Server 2004概览》

微软的TechNet视频关于ISA Server 2004终极标靶系列之一:ISA Server 2004概览 本来上上周就计划着每天晚上看一个视频,然后没看完一个视频就写一博客的。 今天...

学习ISA2004——《ISA Server 2004 常规部署方案》

我们都知道,传统的防火墙可能只能在网络模型的下面3层进行防护,ISA呢,是个高级的应用层防火墙,旨在保护应用程序。当然功能不仅仅是防火墙,它还集成了VPN以及WEB缓存的解决方案。看下图可以看出来IS...

理解ISA server 2004中的网络

  • 2010年07月22日 10:26
  • 60KB
  • 下载

ISA Server 2004 专家教程.

  • 2006年02月23日 15:31
  • 3.87MB
  • 下载

百度点击软件|竞价点击|SEO关键词优化+人工真实模拟点击软件+支持宽带拨号和VPN换IP功能|网卡MAC地址更换|进站随机点击

SEO百度点击竞价点击软件,它是对搜索引擎进行模拟化人工操作的一款强大seo工具,通过换IP、更换网卡MAC地址,全自动模拟手工在搜索引擎中搜索关键词。从而达到提升关键词排名的效果。软件内置adsl拔...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:用ISA Server 2004及其VPN功能杜绝上网IP被盗用
举报原因:
原因补充:

(最多只允许输入30个字)