Плюсы и важные возможности

Комментарии

Соединение работает независимо от входа пользователя

— Компьютер всегда остается подключен к корпоративной сети.

— Пользователь не может отключить такое соединение.

— Все пользователи компьютера имеют доступ в ВПН туннель.

— Основная цель – обеспечивается связь с доменом, обновляются пароли, связь со средствами защиты, логирование, мониторинг, и т.д.

Соединение на основе сертификата устройства

— Сертификат пользователя не используется, только сертификат компьютера (device).

— Пароли и PSK не используются.

— Большой выбор «криптопровадеров» для хранения закрытого ключа.

— Сертификат устройства можно защитить разместив в TPM модуле.

Высокая скорость внедрения

— Сертификаты распространяются средствами Microsoft CA на доменные компьютеры с помощью политик «auto enroll».

— В организациях, уделяющих внимание безопасности компьютеры уже имеют подходящий сертификат.

— Также сертификаты можно распространять любыми сторонними средствами.

Поддерживается отказоустойчивость при наличии внешнего балансировщика

Если точнее, неограниченное количество серверов работают независимо. При переключении на другой сервер, компьютеры устанавливают новое соединение автоматически.

Можно подключить ОС отличные от Windows

Классический IPSec на основе сертификатов.

Поддержка Split Tunneling и Full Tunneling

Можно принудительно отправлять весь трафик пользователя (компьютера) в корпоративную сеть, а можно выбирать отдельные сети в зависимости от требований безопасности.

Сложности и ограничения

Комментарии

Невозможно ограничить доступ на основе Active Directory Security Group

— RADIUS-сервер не участвует в аутентификации.

— Аутентификация происходит на RAS
только на основе сертификата устройства (проверяется корневой сервер в цепочке
и EKU).

Невозможно на одном сервере реализовать схему с нескольким пулами IP-адресов

Один сервер RAS – один пул адресов.

RAS-сервер для пользовательского туннеля (User tunnel) и сервер для туннеля устройства (Device tunnel) должны быть разными

Совместить, конечно, возможно, но пользователи и компьютеры будут получать адреса из одного пула. В этом случае теряется смыл наличия двух туннелей при наличии одного пула адресов.

Невозможно задать выделенный IP-адрес для компьютера

— Адрес будет выдан из пула адресов случайным образом.

— RADIUS-сервер не используется, RAS-сервер не обращается в базу AD и т.п.

— При использовании внешнего DHCP-сервера привязка IP к MAC невозможна, более того, полноценно не работает.

Тяжело «заблокировать» скомпрометированный компьютер

— Отключение/блокировка компьютера возможна только на основе CRL.

— Реакция на изменения не мгновенная, как, например, исключение из Security Group. Потребуется очистка кэша на сервере, чтобы изменения CRL были видны сразу.

— В Windows 2022 был баг, когда очистить кеш без перезагрузки ОС невозможно. Для Windows 2019 таких проблем нет.

Отсутствие визуального контроля подключения для пользователя

— У пользователя нет статуса соединения и значков соединения.

— Пользователь не может ни разорвать, ни установить соединение.

— Конечно, по косвенным признакам можно понять, что соединение установлено но, в целом, это доступно не каждому пользователю.

Только IPSec

Нет возможности использовать SSTP (TCP/443), а трафик UDP500/4500 пропускается не всеми провайдерами.

Невозможно сделать аутентификацию на основе SubCA

RAS-сервер позволяет задать аутентификацию на основе сертификата, расположенного в корневом хранилище.

Не все EKU поддерживаются сервером для фильтрации на этапе аутентификации.

Очень ограниченный список EKU (списка как такого нет в документации, но большую часть путей настроить невозможно). Например, 1.3.6.1.5.5.7.3.7,1.3.6.1.5.5.7.3.2 фильтровать можно.

По умолчанию максимально небезопасные настройки IPSec

— Требуется донастройка сервера RAS с помощью команд.

— «Из коробки» открывается полный доступ в сеть, так как входящий сертификат не проверяется.

— Откровенно слабые алгоритмы, используемые по умолчанию, типа ENCR_3DES, AUTH_HMAC_SHA1, PRF_HMAC_SHA1, DF Group 2.

— Пока вы их не настроили, посмотреть конфигурацию невозможно. Если настроили, то вернуть состояние к дефолтному не получится.

Трудности определения работоспособности сервера балансировщиком

— В случае применения отказоустойчивой конфигурации требуется установить балансировщик. Большинство балансировщиков не могут проверить работоспособность IPSec и портов UDP 500/4500.

— Обходное решение: на сервере RAS запускается SSTP-сервер с User Tunnel без публикации в интернет. В этом случае балансировщик проверяет порт TCP/443. Решение обходное, так как проверяется другой тип туннеля.

У соединения нет ограничения на время работы

— Повторная аутентификация не проводится.

— Если у сертификата истек срок действия или он был добавлен в CRL, соединение будет продолжать работать.

— Необходимо вручную отключить сессию компьютера и очистить кэш CRL.

Плюсы и важные возможности

Комментарии

Поддержка Split Tunneling и Full Tunneling

Можно принудительно отправлять весь трафик пользователя в корпоративную сеть, а можно выбирать отдельные сети в зависимости от требований безопасности.

VPN для каждого приложения

— Возможно установить триггеры на «запуск» ВПН при использовании определенного приложения.

— Постоянно работающий ВПН (неотключаемый пользователем)
не совместим с триггерами по приложениям.

Поддержка MFA

— Все MFA которые можно реализовать через RADIUS (NPS) будут работать нативно.

— Исключение – не поддерживаются пуш-уведомления средствами Always On VPN на клиентах Windows. Т.е. в процессе соединения сервер не может показать пользователю окно и запросить код.

— Необходима установка специальных приложений от «провайдеров» MFA.

— В случае использования аппаратных сертификатов, MFA запрашивается
при доступе системы в сертификату.

Поддержка двойного стека для IPv4 и IPv6

Direct Access, предшественник Always On VPN, плотно использовал IPv6. Сейчас есть выбор и в подавляющем большинстве случаев мы отказываемся от IPv6.

IP-адрес из профиля пользователя

Кроме пула с выдачей случайного свободного адреса, есть возможность задавать в Active Directory профиле пользователя персональный выделенный IP.

Поддержка механизмов высокой доступности

Возможна реализация отказоустойчивых и высоконагруженных кластеров. Если точнее, неограниченное количество серверов работают независимо. При переключении на другой сервер, компьютеры устанавливают новое соединение.

Условный доступ VPN (недоступен без Azure и облака от Microsoft)

Перед подключением можно проверить безопасность компьютера (установленный антивирус или софт, с какого подозрительного адреса происходит подключение) и заблокировать подключение, или спросить дополнительный фактор аутентификации.

IKEv2: при смене IP клиента соединение не разрывается

(MOBIKE)

— Функция доступна только для IKE варианта пользовательского туннеля.

— Смена IP не приводит к разрыву соединения. Безопасность не страдает.

— Реальные сценарии, где это было бы по-настоящему нужно, представить тяжело, но стабильности добавляет.

Скорость IKEv2 vs SSTP

Есть мнение, что IPSec работает быстрее SSTP. На самом деле в реальной жизни это не совсем так. Практика показывает, что победителя нет – бывает SSTP показывает результат немного лучше, а бывает наоборот. Скорее всего у провайдеров на пути трафика разное отношение к UDP и TCP в разное время дня.

Мы рекомендуем использовать оба варианта.

Сложности и ограничения

Комментарии

Слабая поддержка ОС отличных от Windows

— На практике поддержки Protected EAP совместимой с Microsoft в других ОС встретить не удалось (ни для IKEv2 ни для SSTP). Владельцы MacOS и Linux остаются вне этого типа туннеля.

— Существует Windows Platform (UWP) Virtual Private Network (VPN) plugin API, но его широкого применения мы не заметили.

— Не все версии Windows поддерживают полный набор функций ВПН и возможностей, так как технология ориентирована в первую очередь на корпоративный сектор.

Сложная конфигурация параметров EAP для пользователя (если процесс не автоматизирован). Для администраторов повышенный порог вхождения

Конфиг PEAP содержит огромное количество параметров (порядка 15 важных), включающих хэши сертификатов RADIUS серверов, которым мы доверяем.

Microsoft даже разработала специальный скрипт для выгрузки конфига Windows в XML формат.
Кстати, только так можно загрузить конфиг в Intune. Возможно, это один из основных факторов делающих использование протокола PEAP слишком сложным и непонятным для многих администраторов.

Не настраивается из GUI в Windows

Полноценно настроить соединение со всеми преимуществами AlwaysOnVPN можно только через Intune или XML-файл.

Хотя тестовое подключение выполнить можно, даже сам Microsoft рекомендует выгружать настройки PEAP из соединения, настроенного вручную, через GUI.

Нельзя передавать сетевые параметры клиенту с сервера RAS

На стороне клиента определяется:

— Роутинг (таблица маршрутизации)

— ДНС-серверы

— Регистрация в ДНС

— Прокси-серверы

Передать эти параметры с сервера к клиенту невозможно. Чтобы поменять их, нужно переконфигурировать профиль. При «правильной» и «продуманной» настройке это не проблема и конфиг можно проверять/обновлять при каждом подключении.

Кстати, Intune это делает автоматически через интернет, но он в РФ недоступен.

Невозможно на одном RAS-сервере реализовать схему с нескольким пулами

— Один сервер RAS – один пул адресов.

— Есть возможность задавать в доменном профиле пользователя персональный выделенный IP адрес (не обязательно из пула).

Так как это профиль пользователя, а не DHCP-сервер, менеджмент таких адресов будет головной болью, так как инструмента для проверки того, кому принадлежит этот адрес в домене Microsoft нет.

Профиль ВПН — это не файл

— Например, при использовании AnyConnect достаточно просто заменить файл для изменения конфига, но этот легкий путь – не для Microsoft.

— Конфигурация находится в пространстве имен root\cimv2\mdm\dmmap, ClassName MDM_VPNv2_01.

— XML-файл используется на входе для конфигурирования профиля стандартными средствами.

Не все параметры, связанные с ВПН, находятся в профиле, сохраняются/задаются в XML-файле, а находятся в других местах.

Развернуть полноценный профиль только с правами пользователя невозможно

— Нужны права Администратора на машине (точнее от имени Системы).

— Упрощенный профиль развернуть можно через GUI, но он не будет содержать полного и важного конфига ВПН.

Стандартные команды разворачивания профиля для пользователя не работают при удаленных подключениях (например, RDP)

Проблема актуальна, если нужно разворачивать профиль не для всех пользователей компьютера, а именно – для каких-то определенных.

В этом случае разворачивание профиля проводится:

— Локально (тестовая фаза)

— Через диспетчер задач

— Через Intune

Основная сложность и корень проблемы – получение имени пользователя для которого разворачивается профиль. Скрипт создания профиля должен выполняться от имени Администратора (Системы), а профиль разворачиваться уже для пользователя.

В мире, где работает Intune, мы бы и не узнали об этих сложностях.

При разворачивании сервера «по умолчанию» создаются небезопасные конфигурации IPSec и TLS (SSTP)

— SSTP: Поддерживаются TLS 1.0 и много очень слабых алгоритмов шифрования. Чтобы отключить слабые алгоритмы надо создавать новые параметры в реестре на сервере RAS.

— IPSec: ENCR_3DES, AUTH_HMAC_SHA1, PRF_HMAC_SHA1, DF Group 2

— Пока вы не настроили IPSec параметры, посмотреть их невозможно.

Не работает автоматическое переключение между SSTP и IKE «из коробки»

— В режиме Automatic, несмотря на заманчивое название, подключение будет выполняться по схеме SSTP -> IKEv2->PPTP->L2TP. (почему 2 последних попали в эту схему – загадка)

— Схему IKEv2->SSTP надо настраивать довольно неочевидным способом - через rasphone.pbk (т.е. это не конфиг профиля ВПН).

— Можно оставить только SSTP. Можно оставить только IKEv2. А вот схемы, когда SSTP будет первым, а потом IKEv2, нет.  Зато есть недокументированная функция для схемы IKEv2->SSTP: в случае отказа IKEv2 возврата к нему больше не произойдет. Изменения записываются в конфиг автоматически.Можно периодически сбрасывать этот параметр с помощью скриптов.

Не все приложения понимают конфигурацию ВПН

— Часть конфигурации сети проходит через Nrpt таблицы, поэтому, «старые» приложения не видят некоторых «современных» параметров.

— Например, DNS серверы, настроенные в NRPT не видны такому приложению как nslookup. Если у вас особая схема с «другими» DNS для ВПН и есть приложения, пытающиеся нестандартно и самостоятельно лазать на DNS серверы, то могут быть проблемы.

— То же самое касается настройки прокси сервера. Многие браузеры увидят подключение по ВПН и заберут настройки нового прокси, а вот некоторые приложения будут использовать конфиг ОС или, что хуже, свой.

Нет синхронизации конфигурации серверов в отказоустойчивом кластере

— Каждый сервер функционирует независимо. Нагрузку перераспределяет балансировщик.

— Администраторам требуется следить за синхронностью конфигурации.

Правда, однажды настроенный сервер практически не требует перенастройки. Ведь конфигурация сетевых параметров это часть конфигурации профиля пользователя, а не сервера.

Требования к корректной конфигурации PKI

— Если вы установили «по умолчанию» PKI от Microsoft, то сертификаты выданные таким CA работать не будут.

— Самая распространенная проблема у наших клиентов – это недоступность CRL листа
с компьютеров пользователей (из интернета). При использовании протокола PEAP проверяются
все сертификаты при каждом подключении, всеми участниками (серверы, клиенты). Отключить проверку практически невозможно. Если любому компоненту не удается проверить список отзыва, соединение прерывается.