ISA Server 2004 – VPN Quarantäne Suite von Frèdèric Esnouf - Von Marc Grote
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
- Microsoft Windows Server 2003 SP1
In diesem Artikel beschreibe ich die Konfiguration der VPN Quarantäne Suite für ISA Server 2004 von Frèdèric Esnouf, einem französischen MVP Kollegen.
Windows Server 2003 und ISA Server 2004 enthalten bereits rudimentäre Komponenten zur Implementierung einer VPN Quarantäne. Für weitere Informationen lesen Sie folgenden Artikel. Allerdings stecken diese Funktionen aus Sicht des Autors noch in den Kinderschuhen und erweiterte VPN-Q Funktionen werden erst mit NAP (Network Access Protection) in Windows Server Longhorn, dem Nachfolger von Windows Server 2003 R2 zur Verfügung stehen.
Um diesen Misstand zu beheben, hat Frèdèric Esnouf die VPN Quarantäne Suite entwickelt. Weitere Informationen zu diesem Programm erhalten Sie hier. Und das gute daran: Das Programm ist für bis zu drei Verbindungen kostenlos.
Der Nachteil: Das Programm läuft am besten auf englischsprachigen Systemen und mit etwas Aufwand auch auf deutschen Systemen. Obwohl das Programm auch einen deutschen Installationsdialog bietet, muss einiges an der Konfiguration manipuliert werden und dieser Artikel versucht Ihnen zu zeigen wo Sie die Konfiguration manipulieren müssen.
Voraussetzung für die VPN Quarantäne Suite:
-
Windows Server 2003 SP1, Standard und Enterprise
-
SBS 2003
-
Microsoft .NET Framework 2.x
-
Microsoft FTP Service
-
gestarteter Serverdienst
-
gestarteter RRAS Dienst
Die folgende Abbildung gibt einen Überblick über die Standard Windows Server 2003 / ISA Server 2004 VPN Quarantänen-Funktionen.
Die VPN-Q Lösung von Frèdèric Esnouf setzt auf eine eigenständige Serverkomponente auf dem ISA Server 2004 und einen eigenständige Client Komponente auf den VPN-Clients auf. Sie müssen am ISA Server 2004 lediglich die VPN-Q Funktion aktivieren. Alle anderen Funktionen der klassischen VPN-Q Funktionen von Windows werden nicht verwendet.
Download und Installation
Nach erfolgtem Download der Quarantäne Security Suite, entpacken Sie die Installationskomponenten auf dem ISA Server und starten die Standard HTML-Webseite, welche Ihnen einen Installationsdialog bietet. Starten Sie die Installation durch einen Klick auf den Link "Quarantine Security Suite - Approval Server Service".
Wählen Sie die gewünschte Installations-Sprache und folgen den Anweisungen des Installations-Assistenten.
Akzeptieren Sie die Lizenzbestimmungen, nachdem Sie diese gelesen und verstanden haben..
Wählen Sie die Komponenten zur Installation.
Geben Sie den Installationspfad an.
Der QSS Approval Dienst basiert auf dem .NET Framework. Der folgende Installationsdialog gibt Auskunft darüber.
Geben Sie im folgenden Dialogfeld gültige Anmeldeinformationen in Form von DOMÄNE\BENUTZER und dem entsprechenden Kennwort an.
Während der Installation werden Sie noch verschiedene Dialogmeldungen erhalten, dass z. B. REGSVR32 korrekt ausgeführt wurde. Diese Meldungen können Sie bestätigen.
Nach erfolgter Installation der VPN-Q Suite gibt es einen neuen Dienst in der Diensteverwaltung. Dieser Dienst startet jedoch erst nach erfolgter Freischaltung des Produktes.
Abschluss des Installations-Assistenten.
Bei der Installation des Programms wird eine temporäre Lizenzdatei mit dem Namen QSSASSVC-DK.TXT erstellt, dessen Inhalt Sie auf der VPN-Q Webseite zur Aktivierung des Schlüssels einfügen müssen.
Kopieren Sie den Inhalt der Datei in die Zwischenablage und gehen dann auf die Webseite www.esnouf.net und klicken dort auf "Get your free QSS activation key".
Geben Sie hier Ihre E-Mail Adresse für die Bestätigung an und fügen den Inhalt der Zwischenablage ein und klicken dann auf "Generate Key". Eine Datei mit dem entsprechenden Schlüssel wird Ihnen per E-Mail zugesendet.
Die folgende Abbildung zeigt eine E-Mail, welche Sie nach erfolgreicher Schlüsselaktivierung erhalten.
Kopieren Sie die beigefügte Lizenzdatei in das Verzeichnis C:\WINDOWS\SYSTEM32.
Sie können die VPN-Q Suite jetzt auf dem ISA Server starten.
Konfiguration QSS Deposit Server
Der Deposit Server wird zur Kommunikation zwischen VPN-Q Client und VPN-Q Server verwendet. Im Windows Kontext ist der Deposit Server ein installierter Microsoft FTP Server auf dem ISA Server. Ich kann mich mit dieser Art der Kommunikation nicht anfreunden. Ein veraltetes Programm zu verwenden und dann noch einen FTP Server auf dem ISA zu installieren, halte ich nicht für sinnvoll, aber der Entwickler des Produkts erklärt in der dem Setup-Programm beiliegenden Installationsdatei im PDF-Format warum der Deposit Server ein FTP Server sein muss.
Zur Konfiguration des Deposit Server verwenden Sie das Tool DSCONFIG.EXE aus dem QSS Installationsverzeichnis. Klicken Sie auf "Check Config" um die Installation zu überprüfen. Wenn Sie auf Fehler stoßen, liegt das vermutlich daran, dass Sie in dem Feld "Everyone Group Name" "Everyone" stehen haben und nicht "Jeder". Das ist der erste Tribut an eine Installation auf einem deutschen System. Bei meinen Versuchen wurden die notwendigen FTP Verzeichnisse mit dem Namen UPLOAD und DOWNLOAD nicht automatisch angelegt. Sie müssen das also ggf. händisch vornehmen.
Erstellen Sie dazu unter dem Verzeichnis INETPUB\FTPROOT zwei Verzeichnisse mit dem Namen UPLOAD und DOWNLOAD. Die NTFS Berechtigungen müssen VOLLZUGRIFF für JEDER sein.
Das die VPN-Q Suite Schreibzugriff auf das FTP Verzeichnis haben müssen, müssen Sie das FTP Verzeichnis für Schreibzugriff im IIS-Manager konfigurieren. Wie zeigt folgende Abbildung.
Nachdem auch diese Arbeiten abgeschlossen sind, können Sie die Quarantine Security Suite auf dem ISA Server starten.
Navigieren Sie zu der Registerkarte "QSS Service configuration" und klicken Sie auf "Load". Damit wird die XML-Konfigurationsdatei QSSASSVCCONFIG.XML geladen. Leider sind hier alle Pfade auf ein englischsprachiges System angepasst, wo der Pfad zu dem "Programme" Ordner "Program Files" lautet. Sie müssen diese Pfade entsprechen anpassen und die Konfiguration dann speichern.
Navigieren Sie zu der Registerkarte "Edit/Modify security policy" und klicken auf "Load" um die XML-Konfigurationsdatei POLCONFIG.XML zu laden. Auch in dieser Datei sind noch Verweise auf das "Program Files" Verzeichnis, welche Sie direkt in der XML-Datei anpassen müssen. Verwenden Sie am besten NOTEPAD.EXE zum Editieren.
Die Konfigurations-Konsole erlaubt Ihnen als Administrator festzulegen, welche Anforderungen / Parameter VPN Clients erfüllen müssen, bevor Ihnen der VPN-Zugriff auf das Netzwerk erlaubt wird. Sie können hier zum Beispiel auf vorhandene Antivirus Programme überprüfen, Microsoft Antispyware, vorhandene Windows Firewall, installierte Security Patches und einiges mehr. In den jeweiligen Feldern mit dem Namen "Cure" können Sie beschreibenden Text eintragen oder Aktionen die ausgeführt werden sollen, wenn der VPN-Client die Anforderungen nicht erfüllt.
Sie können festlegen, was mit dem VPN Client passiert, wenn dieser nicht den Anforderungen entspricht. In diesem Beispiel würde der VPN-Client heruntergefahren werden, wenn die Anforderungen nicht erfüllt sind.
Auf der Registerkarte "QSS Service monitoring" können Sie sich über den Zustand des VPN-Q Dienstes überzeugen und Client Verbindungen überwachen.
FTP Regel
Damit der VPN-Client mit der VPN-Q Serverkomponente kommunizieren kann, müssen Sie eine entsprechende Zugriffsregel anlegen, welchen den VPN-Clients und Quarantänen-VPN Clients den FTP Zugriff auf den ISA Server erlaubt. Vergessen Sie auch nicht, dass "Read-Only" Flag aus der FTP Regel zu entfernen. Zusätzlich wurde für diesen Artikel zu Diagnosezwecken noch die Protokolldefinition "Ping" in die Regel implementiert.
Aktivieren von VPN-Q auf dem ISA Server
Aktivieren Sie jetzt die VPN-Q Funktionalität auf dem ISA Server. Starten Sie dazu die ISA Server 2004-Verwaltungskonsole und navigieren zum Netzwerk "Quarantänen-VN-Clients" und aktivieren dort in der Registerkarte "Quarantäne" die Quarantänesteuerung. Setzen Sie den Verbindungstimeout auf 120 Sekunden, da eine Überprüfung der VPN-Clients einige Zeit in Anspruch nehmen kann.
Die Konfiguration der Serverseite ist jetzt abgeschlossen.
Client-Konfiguration
Jetzt müssen Sie die Client Seite konfigurieren. Für diesen Artikel wurde eine Windows XP Professional Maschine mit SP2 verwendet. Führen Sie das gleiche Installationsprogramm wie auf Serverseite aus, nur das Sie jetzt den Quarantäne Suite Client auswählen. Folgen Sie den Anweisungen des Installationsassistenten.
Bei der Auswahl der Komponenten funktionierte zum Zeitpunkt der Erstellung dieses Artikels nur die McAfee Komponente. Der Autor des Programms weißt jedoch daraufhin, dass man die entsprechenden Skripte auf Nachfrage erhalten kann.
Die Einstellungen des VPNQ-Clients werden in der XML-Konfigurationsdatei mit dem Namen CLIENTCONFIG.XML vorgenommen. Sie finden diese Konfigurationsdatei im Installationsverzeichnis des VPNQ-Clientprogramms.
Sie müssen die Clientkonfigurationsdatei auf Ihre Bedürfnisse anpassen. Die folgende Abbildung zeigt die Konfigurationsdatei nach der Anpassung.
Angepasst wurden unter anderem der Companyname, die IP-Adresse des FTP-Servers, der FTP Benutzername und das Kennwort des FTP Benutzers. Wenn Sie das Kennwort hier direkt eintragen wird, ist ein automatischer Download der VPN-Q Informationen möglich. Ich habe in der Abbildung auf das eingetragene Kennwort verzichtet.
Starten Sie jetzt das VPN-Q Client Programm. Das Installationsprogramm legt einen Shortcut auf dem Windows Desktop an. Wenn keine VPN-Verbindung entdeckt wurde, legt sich das Programm im SystemTray ab.
Sie müssen als erstes eine normale Windows VPN Verbindung etablieren. Wie das geht, können Sie hier lesen. Wenn eine VPN-Verbindung etabliert wurde, versucht der VPN-Q Client automatisch eine Verbindung aufzubauen.
Wählen Sie die gewünschte Sprache für den VPN-Q Client.
Das VPN-Q Clientprogramm versucht jetzt eine Verbindung mit dem ISA Server und dem Deposit Server herzustellen. Sie können sich Details des Verbindungsaufbaus einblenden lassen, indem Sie den "Regler" rechts neben "Exit" anklicken.
Entspricht der VPN-Client Client nicht den Anforderungen, welche Sie auf Serverseite konfiguriert haben, wird die Verbindung mit einer entsprechenden Meldung verweigert.
Wenn der VPN Client den Anforderungen der VPN-Quarantäne entspricht, wird automatisch eine Verbindung aufgebaut und der Client erfolgreich verbunden.
Die Meldung, dass das Internet momentan einen Virusangriff erleidet, kann entsprechend angepasst werden. Warum diese Meldung erscheint konnte ich während meines Tests nicht ermitteln.
Sie können jetzt auch die erfolgte Verbindung des VPN-Clients im QSS Monitoring sehen. Verweigerte Verbindungen werden mit einem in rot gehaltenen Symbol vorangestellt.
Stand: Friday, 28. August 2009/MG. - http://www.it-training-grote.de
