IPSec Remotestandortverbindung mit ISA 2004 und Sonicwall TZ 150 mit Preshared Key
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
- Microsoft Windows Server 2003
- Sonicwall Appliance TZ 150
In ISA Server 2000 war es bislang nur möglich Remotestandortverbindungen zwischen zwei ISA Servern mit den VPN-Protokollen PPTP oder L2TP/IPSec herzustellen. Seit ISA Server 2004 ist dies auch mit VPN-Endgeräten von Drittherstellern möglich. Hierzu wurde das Tunnelprotokoll IPSec-ESP für die Remotestandortanbindung implementiert. An beiden Standorten ist hierfür eine feste IP-Adresse auf den Endgeräten, die die Verbindung mit dem Internet herstellen, erforderlich. Dieser Artikel beschreibt die Anbindung einer Sonicwall TZ 150 am Remotestandort an einen ISA Server 2004 unter Verwendung eines Preshared Keys.
Szenario
In der Zentrale, am Standort München, steht ein ISA Server 2004 hinter einem Router mit fester IP-Adresse auf der WAN-Schnittstelle. Der kleinere Standort Berlin, mit 3 Mitarbeitern, benötigt Zugriff auf Daten die am Standort München gespeichert sind. Die Anschaffungskosten eines ISA Servers 2004 für diesen Standort würden bei weitem die Zweckmäßigkeit überschreiten. Durch die Verwendung von VPN-Endgeräten von Drittherstellern kann die Anbindung des Standorts Berlin kostengünstig und trotzdem sicher ermöglicht werden. Am Standort Berlin wird hierfür ebenfalls eine feste IP-Adresse auf der WAN-Schnittstelle der Sonicwall benötigt. Da sich der ISA Server 2004 hinter einem Router befindet, muss dieser VPN-Passthrough fähig sein. Dazu ist es wichtig, dass auf dem Router stets die aktuellste Firmware betrieben wird. Abhängig von der Implementation von VPN-Passthrough müssen folgende Ports am Router auf die externe Schnittstelle des ISA Servers weitergeleitet werden:
- IKE, UDP 500 für den Schlüsselaustausch
- IPSEC-ESP, IP-Protokoll 51 für die Übertragung der verschlüsselten Daten
- NAT-T, UDP 4500 für die Verwendung von NAT-Traversal
1. Konfiguration der Sonicwall TZ 150
Zunächst müssen Sie die Sonicwall für die Remotestandort-Verbindung konfigurieren. Öffnen Sie hierzu das Webinterface im Browser und melden Sie sich als Admin an der Sonicwall an. Wechseln Sie im Navigationsbereich auf der linken Seite zum Punkt VPN. Sie gelangen dadurch in das Konfigurationsmenu für die VPN-Einstellungen.
Aktivieren Sie die Option Enable VPN, falls diese nicht aktiviert sein sollte. Um eine neue VPN-Richtlinie zu erstellen können Sie den VPN Policy Wizard, der Sie Schritt für Schritt durch die Konfiguration leitet, verwenden, oder Sie können die Konfiguration manuell über die Schaltfläche Add vornehmen. In dieser Anleitung wird die VPN-Richtlinie manuell über die Schaltfläche Add erstellt. Klicken Sie hierzu auf die Schaltfläche Add.
Für die VPN-Richtlinie müssen Sie angeben, wie die Sicherheit ausgehandelt werden soll. Hierfür stehen die folgenden Optionen zur verfügung:
- Manual Key
- IKE using Preshared Secret
- IKE using 3rd Party Certificates
Wählen Sie für die Verwendung eines Preshared Keys die Option IKE using Preshared Secret aus dem Dropdownfeld aus und tragen Sie im Feld Name einen aussagekräftigen Namen für die VPN-Richtlinie ein. Es ist zu empfehlen, hier den Namen der Gegenstelle, z.B. München, zu verwenden. Die Sonicwall unterstützt zur Ausfallsicherheit die Angabe von zwei IP-Adressen bzw. FQDNs, unter der die Gegenstelle zu erreichen ist. Tragen Sie im Feld IPSec Primary Gateway Name or Address die externe IP-Adresse der Gegenstelle ein. In diesem Fall ist das die externe IP-Adresse des Routers, über den der ISA Server mit dem Internet verbunden ist. Den Preshared Key, durch den die gegenseitige Authentifizierung durchgeführt wird, tragen Sie im Feld Shared Secret ein. Verwenden Sie als Preshared Key eine sehr lange und komplexe Zeichenfolge, bestehend aus Buchstaben, Zahlen und Sonderzeichen. Für die Sicherheitsaushandlungen ist es notwendig angaben über das Remotenetzwerk zu machen.
Die Sonicwall bietet hierfür folgende Optionen:
- Use this VPN Tunnel as default route for all Internet traffic
Diese Option leitet den gesamten Datenverkehr über diesen IPSec-Tunnel ins Remotenetzwerk. Entsprechend der Sichereheitsbestimmungen der Firma kann es sein, dass z.B. der Webdatenverkehr über einen Proxyserver in der Zentrale geleitet werden soll, wo dieser auf seinen Inhalt überprüft wird. - Destination network obtains IP addresses using DHCP through this VPN
Tunnel
Sollte das Remotenetzwerk seine IP-Adressen von einem DHCP-Server aus dem lokalen Netzwerk beziehen, ist diese Option zu wählen. - Specify destination networks below
Bei dieser Option müssen Sie angeben, welche Subnetze sich am Remotestandort befinden, damit der Tunnel bei Bedarf aufgebaut werden kann.
Geben Sie das Netzwerk in der Form von Netwerkadresse und der dazugehörigen Subnetzmaske an und übernehmen Sie die Angaben mit OK. Damit Verbindungen, die über den Proxy des ISA Servers gehen auch in das Remotenetzwerk übertragen werden können, müssen Sie zusätzlich noch die externe IP-Adresse des ISA Servers angeben.
Nachdem Sie den Adressbereich des Remotestandorts hinzugefügt haben, sollten die Angaben wie im obigen Bild gezeigt aussehen. Wechseln Sie zur Angabe weiterer Einstellungen zur Registerkarte Proposals.
Die Proposals sind Vorschläge für die Sicherheitsaushandlungen, die beim Verbindungsaufbau an die Gegenstelle gesendet werden. Diese müssen mit den Proposals der Gegenstelle übereinstimmen, ansonsten kann der Tunnel nicht aufgebaut werden. Ein erfolgreicher Verbindungsaufbau besteht aus zwei Phasen. In Phase I werden zunächst vom ausghenden Teilnhemer mehrere Vorschläge, mindestens einer, für die Sicherheitsaushandlung an die Gegenstelle gesendet. Diese wählt aus den empfangenen Vorschlägen den sichersten, unterstützen Vorschlag aus und bestätigt diesen dem Sender. Anhand der ausgetauschten Informationen kann die Authentifizierung durch den Preshared Key und der Schlüsselaustausch bereits verschlüsselt stattfinden.
Standardeinstellungen der Sonicwall für den Schlüsselaustausch (Phase I) sind die Verwendung von Mainmode unter der Verwendung des Diffie-Hellman-Algorithmus DH-Group 2. Für die Verschlüsselung wird 3DES, was 168 Bit Verschlüsselung entspricht, verwendet und die Integrität der übermittelten Daten wird durch Anwendung des Hash-Algorithmus SHA1 sicher gestellt. Zur Sicherheit wird der ausgehandelte Schlüssel alle 28800 Sekunden (8 Stunden) neu generiert. Die Standardeinstellungen der Sonicwall sind bereits ziemlich sicher, deshalb sollten Sie diese Werte auf den Standardwerten belassen. Wichtig bei der Konfiguration der Proposals ist, dass diese auch vom ISA Server unterstütz werden. Die Sonicwall bietet z.B. als Verschlüsselung die AES-Verschlüsselung mit 256 Bit an, was leider durch den ISA Server noch nicht unterstützt wird.
In Phase II ist die Standardeinstellung die Verwendung von IPSec-ESP, d.h. es wird ein Tunnel zwischen den beiden Endgeräten aufgebaut und für die Verschlüsselung und Integrität der Daten wieder 3DES und SHA1 verwendet. Aktivieren Sie zur Erhöhung der Sicherheit die Option Enable Perfect Forward Secrecy, wordurch bewirkt wird, dass von einem ausgehandeltem Schlüssel nur einmal die Verschlüsselung generiert wird. Hierzu müssen Sie angeben welcher Diffie-Hellman-Modus verwendet werden soll. Standard ist hier DH-Group 2. Auch die Sicherheitsaushandlungen in Phase II sind nur solange gülig, wie Sie unter der Eingabe Life Time (seconds) angeben. Standardwert ist hier wieder 28800 Sekunden (8 Stunden).
Bei Verwendung von VPN-Endgeräten von Drittherstellern ist es zu empfehlen, die Werte auf den Standardwerten zu belassen und die Werte im ISA an diese anzupassen. Nehmen Sie bei Bedarf Änderungen an den Proposals vor und wechseln danach zur Registerkarte Advanced.
Diese Einstellungen haben nicht direkt etwas mit dem VPN-Tunnel zu tun, aber mit dem Verhalten des Tunnels. Die Option Enable Keepalive bewirkt, dass ein bestehender Tunnel von der Sonicwall durch periodisch übertragene Pakete aufrecht erhalten wird. Sollte ein Tunnel einmal zusammenbrechen, z.B. aufgrund der Zwangstrennung durch den Internetanbieter, bewirkt die Option Try to bring up all possible Tunnels den erneuten Zwangsaufbau des Tunnels.
Wählen Sie diese Optionen bei Bedarf aus und klicken Sie anschließend auf die Schaltfläche OK, um die Konfiguration der VPN-Richtlinie abzuschließen.
Die soeben erstellte VPN-Richtlinie wird Ihnen unter den VPN-Richtlinien der Sonicwall angezeigt.
2. Konfiguration des ISA Servers 2004 für die Remotestandort-Verbindung
2.1 Erstellen des Remotestandorts
Am ISA Server 2004 müssen Sie für den Remotestandort Berlin ein neues Netzwerkobjekt von Typ Remotestandort erstellen. Öffnen Sie hierzu die Verwaltungskonsole des ISA Servers und wechseln Sie zum Menupunkt Virtuelle Private Netzwerke (VPN). Im Aufgabenbereich der Registerkarte Remotestandorte klicken Sie auf Remotestandort hinzufügen.
Für die Erstellung eines Remotestandorts gibt es im ISA Server einen Assistenten, der Sie Schritt für Schritt durch die Konfiguration führt. Tragen Sie im Feld Netzwerknamen einen aussagekräftigen Namen für den Remotestandort ein.
Für die Verbindung mit einem Drittherstellerprodukt wählen Sie als VPN-Typ IPSec-Tunnelmodus (IP Security Protocol) aus.
Geben Sie unter IP-Adresse des Remote VPN-Gateways die externe IP-Adresse der Sonicwall an, unter der die Gegenstelle zu erreichen ist. Für die IPSec-Sicherheitszuordnungen ist es wichtig, dass Sie angeben, von welcher IP-Adresse Sie die Verbindung zum Remotestandort aufbauen. Wählen Sie deshalb aus dem Dropdownmenu, die externe IP-Adresse des ISA-Servers aus.
Würde die IPSec-Verbindung nicht über die externe Schnittstelle aufgebaut werden, müssen Sie das entsprechende Netzwerkobjekt zunächst über die Schaltfläche Netzwerke auswählen, damit die IP-Adressen diesen Netzwerks auswählbar werden.
Die IPSec-VPN-Verbindung soll mittels eines Preshared Keys hergestellt werden. Wählen Sie deshalb die Option Vorinstallierten Schlüssel für Authentifizierung verwenden aus und tragen Sie den Schlüssel im dafür vorgesehenem Eingabefeld ein. Beachten Sie, dass dieser Schlüssel mit dem Schlüssel auf der Sonicwall übereinstimmen muss.
Wie auch bei der Sonicwall ist es beim ISA Server erforderlich, den IP-Adressbereich anzugeben, der sich am Remotestandort befindet. Klicken Sie auf die Schaltfläche Hinzufügen, um diesen Netzwerkbereich anzugeben.
Tragen Sie die Start- und Endadresse des Remotestandorts in Form von Netzwerkadresse und Broadcast-Adresse an. Für den Standort Berlin sind das 192.168.75.0 und 192.168.75.255. Die Angabe des Netzwerkbereichs mit Netzwerkadresse und Broadcast-Adresse ist wichtig, da ansonsten Fehlermeldungen über Routingfehler im Ereignisprotokoll generiert werden.
Nachdem Sie den Netzwerkbereich hinzugefügt haben, sollte die Konfiguration wie in obigen Bild zu sehen aussehen.
Zum Abschluß des Assistenten bekommen Sie eine Zusammenfassung angezeigt.
Der Assistent hat ein neues Netzwerkobjekt für den Remotestandort mit Standardwerten angelegt. Die Proposals für Phase I und Phase II des Remotenetzwerks müssen Sie nun mit denen der Sonicwall abgleichen. Öffnen Sie hierzu die Eigenschaften des Netzwerkobjekts über das Kontextmenu.
Wechseln Sie zur Registerkarte Verbindung und klicken Sie auf die Schaltfläche IPSec-Einstellungen.
Vergleichen Sie die Werte für Phase I mit denen, die Sie in der Sonicwall für Phase I konfiguriert haben und gleichen Sie diese gegebenenfalls ab.
In Phase II wurde durch den Assistenten die Gültigkeitsdauer des ausgehandelten Schlüssels auf 3600 Sekunden (1 Stunde) festgelegt. In der Sonicwall beträgt dieser Wert 28800 Sekunden (8 Stunden). Ändern Sie die Gültigkeitsdauer auf 28800 Sekunden ab oder auf den Wert, den Sie in der Sonicwall hinterlegt haben. Überprüfen Sie auch die anderen Einstellungen, ob diese mit den Einstellungen der Sonicwall für Phase II übereinstimmen.
2.2 Konfiguration einer Netzwerkbeziehung
Damit ISA Server die Pakete in den Remotestandort übertragen kann, müssen Sie hierfür eine Netzwerkbeziehung anlegen. Wechseln Sie hierzu in der Verwaltungskonsole zum Knoten Konfiguration -> Netzwerke und erstellen Sie aus dem Kontextmenu über Neu->Netzwerkbeziehung eine neue Netzwerkbeziehung.
Auch für die Erstellung einer Netzwerkbeziehung bietet ISA Server einen Assistenten an. Geben Sie für die Netzwerkbeziehung einen aussagekräftigen Namen ein.
Fügen Sie über die Schaltfläche Hinzufügen das Netzwerkobjekt hinzu, von dem die Anfragen gesendet werden.
Als Ziel der Anfrage wählen Sie das Netzwerkobjekt für den eben erstellen Remotestandort über die Schaltfläche Hinzufügen aus.
Im nächsten Schritt erfordert der Assistent die Angabe, ob zwischen den beiden Netzwerkobjekten geroutet oder NAT angewendet werden soll. Wählen Sie hier die Option Route aus.
Zum Abschluß zeigt Ihnen der Assistent eine Zusammenfassung der Netzwerkregel an.
2.3 Erstellen einer Firewallrichtlinie für den Zugriff
Damit ein Zugriff vom bzw. zum Remotestandort möglich ist, benötigen Sie noch eine Firewallrichtlinie, die diesen Datenverkehr erlaubt. Erstellen Sie hierzu eine Firewallrichtlinie, die den Zugriff erlaubt.
Vergeben Sie im Assistenten einen Namen für die Firewallrichtlinie.
Wählen Sie als Aktion die Option Zulassen aus, um den Datenverkehr zu erlauben.
Als Beispiel soll in dieser Anleitung nur der Zugriff per RDP erlaubt werden. Ändern Sie das Dropdownfeld Regel wird angewendet für auf die Option Ausgewählte Protokolle ab und fügen Sie über die Schaltfläche Hinzufügen das Protokoll RDP (Terminaldienste) hinzu.
Wählen Sie als Quelle der Anfrage, über die Schaltfläche Hinzufügen, das Netzwerkobjekt für den Remotestandort Berlin aus.
Geben Sie als Ziel der Anfrage das Netzwerkobjekt Intern über die Schaltfläche Hinzufügen an.
Geben Sie bei Bedarf eine bestimmte Benutzergruppe an, die Zugriff haben soll.
Zum Abschluss bekommen Sie eine Zusammenfassung der Firewallrichtlinie angezeigt.
3. Abschließender Test
Nachdem Sie die neue Konfiguration vom ISA Server über die Schaltfläche Übernehmen übernommen haben, sollten Sie den Zugriff per RDP testen. Starten Sie hierzu den RDP-Client auf einem Client am Standort Berlin und verbinden Sie sich mit einem Terminalserver am Standort München.
Bei erfolgreicher Konfiguration sollten Sie den Anmeldebildschirm des aufgerufenen Servers angezeigt bekommen. Sollten Sie eine Timeout-Meldung bekommen versuchen Sie es gleich darauf noch einmal. Es kann sein, dass die Sicherheitsaushandlungen, z.B. aufgrund von hoher Netzwerklast, länger als geplant gedauert haben.
Wurde der Tunnel erfolgreich aufgebaut, wird Ihnen das in der Sonicwall angezeigt. Unter Currently Active VPN Tunnels sollte nun die VPN-Richtlinie für den Remotestandort München angezeigt werden und direkt an der VPN-Richtlinie ist ein grüner Punkt zu sehen, der aussagt, dass eine Sicherheitszuordung für das Netzwerk 192.168.50.0 erstellt wurde. Sollten Sie mehrere Netzwerke angegeben haben, erscheint dieser Punkt pro Netzwerk für das eine Sicherheitszuordnung erstellt wurde.
Sollte der Tunnel nicht aufgebaut werden können, bietet Ihnen das Logfile der Sonicwall eine sehr gute Möglichkeit bei der Fehlersuche. Das Logfile finden Sie unter dem Punkt Log in der Navigationsleiste.
Fazit:
Die Sonicwall ist sehr einfach zu konfigurieren und ermöglicht es sehr schnell einen stabilen IPSec-Tunnel zwischen einem ISA Server 2004 herzustellen. Sehr interessant ist die Möglichkeit anstelle von Preshared Keys Zertifikate für die Sicherheitsaushandlung zu verwenden, was bei anderen Modellen in dieser Preisklasse meist nicht vorhanden ist. Durch Erwerb der optionalen Sicherheitsfeatures, wie z.B. einem Netzwerkvirenscanner, oder einem Contentfilter, kann die Kommunikation zusätzlich abgesichert werden.
Stand: Friday, 28. August 2009/CG.
