配置×××服務器使用L2TP/IPSEC協議
在ISA2006中配置了×××地址池,選擇了×××協議,創建了防火牆策略,檢查了網絡規則,還賦予了用戶遠程撥入權限。等×××服務器搭建完畢後,我們又利用客戶端對×××服務器進行了連接測試,我們擁有了自己的×××服務器。只是在上次實驗中,客戶端訪問×××服務器時使用的是PPTP協議,但×××服務器支持PPTP和L2TP/IPSEC兩種協議,因此在本篇博文中我們將在客戶機上測試使用L2TP/IPSEC協議訪問×××服務器。
L2TP/IPSEC從字面上理解是在IPSEC上跑L2TP,IPSEC負責數據的封裝加密,L2TP的作用和PPTP類似,負責在IP網絡上做出×××隧道。從理論上分析L2TP協議應該比PPTP更安全一些,因爲L2TP不但能在用戶級別實現PPP驗證,還能實現計算機級別的身份驗證;而PPTP只考慮了對×××用戶的身份驗證,不支持對計算機身份進行驗證。L2TP驗證計算機身份可以使用兩種方法,預共享密鑰和證書。預共享密鑰比較簡單,只要在×××服務器和客戶機上使用約定好的密碼就可以證實彼此計算機身份,當然安全性也只能說很一般。證書驗證則依靠從CA申請的計算機證書來證明身份,由於證書的高安全性,這種驗證方法在安全方面是令人滿意的。下面我們把兩種方法都通過實驗實現一下,實驗拓撲和上篇博文完全相同。
一 預共享密鑰
預共享密鑰需要在×××服務器和×××客戶機上設置一個共同約定的密鑰作爲身份識別標識,首先我們在×××服務器上進行設置。在ISA的管理工具中展開虛擬專用網絡,如下圖所示,點擊右側面板中的“選擇身份驗證方法”。
切換到“身份驗證”標籤,如下圖所示,勾選“允許L2TP連接自定義IPSEC策略”,輸入“password”作爲預與共享密鑰。
×××服務器爲L2TP設置了預共享密鑰後,接下來我們在×××客戶機上進行預共享密鑰的設置,如下圖所示,在Istanbul的網上鄰居屬性中,右鍵點擊上篇博文中創建的×××連接“ITET”,選擇“屬性”。
在×××屬性中切換到“網絡”標籤,選擇×××類型是“L2TP IPSEC ×××”。
再在×××屬性中切換到“安全”標籤,點擊“IPSEC設置”。
如下圖所示,勾選“使用預共享的密鑰作身份驗證”,輸入密鑰的值“password”。
在服務器端和客戶端都進行預共享密鑰設置後,如下圖所示,在Istanbul上點擊“連接”,準備連接到×××服務器。
×××連接成功後,查看×××連接屬性,如下圖所示,我們看到當前使用的×××協議是L2TP。
二 證書
使用預共享密鑰方法簡單,但安全性不高,接下來我們使用證書驗證計算機身份,安全性會有很大提高。使用證書驗證計算機身份,×××服務器需要申請服務器證書,×××客戶機需要申請客戶端證書。在目前的實驗環境中,內網的Denver是證書服務器,類型是獨立根,已經被實驗用到的所有計算機信任。首先我們在ISA服務器上申請一個服務器證書,如下圖所示,在ISA服務器的瀏覽器中輸入[url]http://denver/certsrv[/url],在證書申請頁面中選擇“申請一個證書”。
選擇“高級證書申請”。
選擇“創建並向此CA提交一個申請”。
如下圖所示,輸入證書申請的參數,由於此CA類型是獨立根,因此需要輸入的參數和企業根有所不同。證書姓名中我們輸入了×××服務器的域名 Beijing.contoso.com,我們選擇的證書類型是“服務器身份驗證證書”,然後選擇將證書保存在本地計算機存儲中,其他參數隨便輸入即可。
提交申請後,證書服務器頒發了證書,如下圖所示,我們選擇“安裝此證書”即可完成證書申請工作。注意,獨立根CA默認是需要管理員審覈才能進行證書核發,我們修改了獨立根CA的策略模塊,讓CA服務器可以自動發放證書。
×××服務器申請完服務器證書後,接下來我們在Istanbul上申請客戶端證書,首先讓Istanbul用PPTP協議撥入×××服務器,然後就可以訪問內網的CA服務器了,如下圖所示,在Istanbul的瀏覽器中輸入[url]http://10.1.1.5/certsrv[/url],選擇“申請一個證書”。
選擇提交一個“高級證書申請”。
選擇“創建並向此CA提交一個申請”,通過表單提交證書申請。
如下圖所示,我們選擇申請的證書類型是“客戶端身份驗證證書”,姓名是“Istanbul”,將證書保存在計算機存儲中。
提交申請後,CA自動頒發證書,如下圖所示,我們在Istanbul上安裝了頒發的證書。至此,我們在×××的服務器端和客戶端都完成了證書申請,接下來我們分別取消×××服務器端和客戶端的預共享密鑰設置,重新在Istanbul上用L2TP連接×××服務器,看是否能夠使用證書進行計算機身份驗證。
