محمد نصیری
هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

کاملترین آموزش راه اندازی SSTP VPN Server در ویندوز سرور + مفاهیم

چگونه SSTP سرور راه اندازی کنیم؟ چگونه در ویندوز سرور SSTP سرور راه اندازی کنیم؟ SSTP چیست؟ در این مقاله بر تکنولوژی های پیشرفته فناوری VPN و ارائه توضیحاتی در خصوص پروتکل های VPN و همچنین پیاده سازی جدیدترین پروتکل VPN به نام SSTP خواهیم پرداخت .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

یکی از بهترین امکاناتی که شبکه ها در اختیار ما قرار می دهند امکان دسترسی از راه دور یا Remote Access است که دیگر می توان به عنوان یکی از مهمترین ابزارهای کاربردی افراد از آن نام برد . همانطور که نیاز به دسترسی از راه دور به منابع داخل شبکه و سرویس ها داخل شبکه آن گسترش می یابد امکان دسترسی نیز به مراتب از اهمیت ویژه ای برخوردار می شود و افراد به این مورد نیاز دارند که بتوانند از هر جا در دنیا به این منابع دسترسی پیدا کنند .

بزودی زمانی را خواهید دید که این جمله زیاد شنیده می شود : به محض اینکه به کامپیوترم دسترسی پیدا کنم اطلاعات مورد نیاز شما را به شما ارائه خواهم داد . در دنیای امروزی سرعت دسترسی به اطلاعات از اهمیت بسیار زیادی برخوردار است و شما بایستی بتوانید اطلاعات را به محض اینکه از شما درخواست می شود در هر محیطی در اختیار کارکنانتان قرار دهید .

در عهد پارینه سنگی و غارنشینی یکی از روش های دسترسی پیدا کردن به اطلاعات از راه دور استفاده از خطور Dial-Up بود . سرویسی که برای برقراری اینگونه ارتباطات مورد استفاده قرار می گرفت از بستر POTS یه سرویس تلفن قدیمی استفاده می کرد که نهایتا می توانست سرعت 56 کیلو بیت بر ثانیه را به شما ارائه دهد ( در محیط آزمایشگاه ) . سرعت یکی از مهمترین معضلات اصلی این روش اتصال از راه دور بود اما مشکل مهمتر مدت زمانی بود که خطوط تلفن اشغال می شدند و هزینه ای بود که بابت سرویس تلف مخابرات می بایست پرداخت می شد.

با معرفی شدن و گسترش سرویس های اینترنت دیگر تا حد زیادی استفاده از ارتباطات Dial-Up منسوخ شد و کمتر مورد اسفاده قرار می گرفت. دلیل اصلی این موضع هم معرفی سرویسی به نام Virtual Private Network یا شبکه خصوصی مجازی بود .

سرویس های VPN همان قابلیت سرویس های Dial-Up را به ما می دادند با این تفاوت که می توانستند این امکان را امنیت ، سرعت و هزینه کمتری انجام دهند ، سرعت VPN می تواند برابر با سرعت ارتباط اینترنتی باشد که شرکت دارد و شما به غیر از هزینه اینترنت هزینه دیگری را نخواهید داشت.

VPN چیست؟ بررسی مفهوم شبکه خصوصی مجازی

یک ارتباط VPN به کامپیوتر این امکان را می دهد که بتواند یک ارتباط ایمن و خصوصی و البته مجازی را بر روی شبکه اینترنت به سمت شبکه مقصد ایجاد کند . این ارتباط مجازی است ، به این دلیل که زمانی که کامپیوتر با استفاده از VPN به مقصد مرتبط می شود به عنوان یک Node از شبکه داخلی آن شرکت ، یا بهتر بگوییم به عنوان یک کلاینت که با کابل اترنت به شبکه داخلی شرکت متصل شده است شناخته می شود و به گونه ای به ظاهر کاملا درون شبکه مقصد قرار دارد ، در حالی که اینطور نیست .

یک کاربر می تواند به تمامی منابع شبکه ای که بصورت عادی و در صورت حضور فیزیکی در شبکه مقصد در اختیار دارد دسترسی پیدا کند . اما دلیل دیگر بر مجازی بودن این ارتباط این است که ارتباطی که از VPN Client به VPN Server انجام می شود یک ارتباط شبکه واقعی نیست و لینک ارتباطی شما اینترنت است نه کابل اترنت شبکه داخلی.

ارتباطی که برقرار می شود خصوصی نیز می باشد ، دلیل این خصوصی بودن این است که اطلاعات منتقل شده در این مسیر بصورت رمزنگاری شده در می آیند و هیچ کسی که در این میان قرار دارد در صورت دریافت اطلاعات قادر به کشف اطلاعات درون آن نمی باشد و به همین دلیل اطلاعات محرمانه و خصوص باقی می مانند .

سیستم عامل های شرکت مایکروسافت از زمانی که ویندوز NT و ویندوز 95 به بازار ارائه داده شدند از پروتکل های VPN پشتیبانی می کردند .همانطور که سیستم عامل ها از این پروتکل ها پشتیبانی می کردند ، این پروتکل ها نیز روز به روز پیشرفت و گسترش پیدا کردند . ویندوز سرور 2008 و ویندوز ویستا سرویس پک یک به بالا از سه نوع پروتکل VPN پشتیبانی می کنند که به شرح ذیل می باشند :

  • PPTP یا Point To Point Tunneling Protocol
  • L2TP یا Layer Two Tunneling Protocol
  • SSTP یا Secure Socket Tunneling Protocol

PPTP ساده ترین و آسانترین پروتکل برقراری ارتباط VPN است اما در عین سادگی نسبت به پروتکل های دیگر VPN از امنیت کمتری برخوردار است. دلیل اینکه این پروتکل PPTP نسبت با سایر پروتکل ها از امنیت کمتری برخوردار است این است که مشخصات کاربری بر روی یک لینک ایمن تبادل نمی شوند .

در واقع رمزنگاری داده ها پس از انتقال مشخصات کاربران انجام می شود . البته رمز و مشخصات احراز هویت کاربر بصورت متن ساده رد و بدل نمی شوند و در قالب یک فایل Hash شده منتقل می شوند اما در این میان یک مهاجم می تواند این Hash را پیدا کرده و بر اساس آن رمز عبور کاربر را پیدا کند و سرور VPN رو مورد حمله قرار دهید .

نمونه ایمن تر از پروتکل های VPN پروتکل L2TP/IPSec است . L2TP/IPSec یک طراحی مشترک از مایکرسافت و سیسکو بود . L2TP/IPSec بسیار بسیار از PPTP ایمن تر بود به دلیل اینکه قبل از اینکه مشخصات کاربری را تحت شبکه منتقل کند با استفاده از پروتکل IPSec نشست بین کاربر و سرور را ایمن سازی می کند و سپس مشخصات را در شبکه بصورت رمزنگاری شده ارسال می کند . در این روش دیگر هکر ها قادر نخواهند بود در میان خط بنشینند و اطلاعات را شنود کنند .

یکی دیگر از قابلیت های L2TP/IPSec به نام Mutual Authentication میباشد که امکان احراز هویت دو طرفه را به ما می دهد به این معنا که ضمن اینکه سرور مشخصات کاربر را احراز هویت می کند ، کاربر نیز سرور را احراز هویت می کند و همین امر به سرور این امکان را می دهد که به درخواست های ارتباط VPN از نوع L2TP/IPSec به هر کسی جواب ندهد .

IPSec به ما سرویس های احراز هویت ، صحت داده ها ، محرمانگی داده و انکار ناپذیری را ارائه می دهد . L2TP از مکانیزم های احرازهویت کاربرPPP و EAP پشتیبانی می کند که به ما امکانات گسترده ای در زمینه احراز هویت کاربران و سرور ها را ارائه می دهد .

در ویندوز ویستا سرویس پک یک و ویندوز سرور 2008 و بعد از آن ، پروتکل جدیدی به نام SSTP توسط مایکروسافت معرفی شد . SSTP از پروتکل SSL برای رمزنگاری کردن ارتباطات HTTP برای برقرار ارتباط با VPN Gateway استفاده می کند . SSTP پروتکل بسیار ایمنی است به دلیل اینکه تا قبل از اینکه یک ارتباط SSL ایمن بین کلاینت و سرور برقرار نشود مشخصات کاربری را در شبکه ارسال نمی کند ، به SSTP برخی اوقات PPP بر روی SSL نیز گفته می شود ، این بدین معناست که مکانیزم های PPP و SSL با یکدیگر ترکیب می شوند و در نهایت باعث ایجاد SSTP می شوند .

پنهان شدن امنیت نیست

همنجا باید به یک نکته اشاره کنم که ارتباطات VPN بیشتز اینکه باعث ایجاد امنیت باشند ، شما را مخفی نگه می دارند . هرچند که مخفی ماندن در محیط اینترنت به نوعی بخشی از امنیت محسوب می شود اما خود VPN به تنهایی امنیت را ایجاد نمی کند .تکنولوژی VPN باعث می شود که دیگران در اینترنت نتوانند اطلاعات شما را مشاهده و آنرا بخوانند ، آنها نمی توانند محتویات ارتباط شما را مشاهده کنند .

این تکنولوژی از اینکه کاربران مجاز به منابع مورد نظرشان دسترسی پیدا کنند ساخته شده است و کاربران را احراز هویت می کند . اما همیشه به یاد داشته باشیم که مخفی ماندن ، احراز هویت و تعیین سطوح دسترسی یک راهکار جامع امنیتی همیشگی نیست .

فرض کنید که شما به یک کارمند اجازه دسترسی به شبکه را از طریق VPN داده اید ، با توجه به اینکه ویندوز سرور 2008 شما از پروتکل EAP پشتیبانی میکند ، شما تصمیم میگیرید که از کارت های هوشمند برای احراز هویت کاربران با استفاده از پروتکل L2TP/IPSec را استفاده کنید. استفاده همزمان از L2TP/IPSec و کارت هوشمند درصد امنیتی بسیار خوبی را برای احراز هویت ایجاد میکند . خوب این ساختار شما به درستی کار کرده و همگی خوشحال هستند .

همه چیز حوب پیش می رود تا زمانیکه یک کاربر به SQL Server شما متصل شده و اطلاعات مربوط به قسمت مالی را دریافت و آنها را بین دوستانش به اشتارک می گذارد . خوب چه اتفاقی افتاد ؟ آیا ارتباط VPN امنیت نداشته ؟ در واقع VPN امنیت را به درستی برقرار کرده است به گونه ای که مخفی سازی ، احراز هویت و سطح مجاز دسترسی را تعیین کرده است 

اما چیزی که در اینجا پیاده سازی نشده بود کنترل های دسترسی بود ، و در مبحث کامپیوتر کنترل های دسترسی اصلی ترین قسمت در امنیت اطلاعات محسوب می شوند . در واقع میتوان اینطور برداشت که در صورتیکه کنترل های دسترسی در ساختار های امنیتی وجود نداشته باشند ، هیچ پارامتر امنیتی به درستی کار نخواهد کرد .

اگر می خواهید ارتباط VPN شما واقعا ایمن باشد ، بایستی VPN Gateway شما این قابلیت را داشته باشد که بر اساس نام کاربری و گروه های کاربری سطوح دسترسی را بر اساس قانون کمترین سطح دسترسی ممکن یا Least Privilege تعیین کند .

VPN Gateway های پیشرفته مانند ISA server و TMG این قابلیت را دارند که می توانند سطوح دسترسی را بر اساس نام کاربری و گروه ها تعیین کنند . علاوه بر این اینگونه ابزارهای میتوانند یک کنترل بسیار مناسب امنیتی را بر روی بسته های اطلاعاتی انجام داده و ارتباطات VPN را واکاوی کنند .

اما داشتن فایروالی مثل ISA Server که این قابلیت را داشته باشد نیازمند هزینه برای خریداری این نرم افزار است و ویندوز سرور 2008 هم بصورت پیشفرض نمی تواند این امکان را به کاربران بدهد ، البته ما در ایران هستیم و این دغدغه ها برای ما وجود ندارد اما خوب کمی هم ایده آل فکر کردیم .

اما می تواند در ویندوز سرور 2008 تمهیداتی را قائل شد که بتوان این امکان را ایجاد کرد و دیگر نیازی به استفاده از فایروال هایی که گفتیم را نخواهید داشت . در این مقاله بیشتر در خصوص اجزای تشکیل دهنده VPN و چگونگی راه اندازی آن در ویندوز سرور 2008 صحبت خواهیم کرد ، اگر سئوال در خصوص راه اندازی VPN در آیزا سرور دارید میتوانید در قسمت تالار گفتمان سئوالات خود را مطرح کنید .

چرا پروتکل SSTP برای VPN معرفی شد؟

مایکروسافت دو نوع پروتکل برای استفاده در ساختار های VPN خود دارد ، پس چه نیازی به معرفی و استفاده از یک پروتکل جدید است ؟ SSTP یک پروتکل بسیار پیشرفته VPN است که این امکان را به کاربران VPN می دهد که بدون وجود مشکلاتی که پروتکل های PPTP و L2TP در برخورد با فایروال ها و ساختارهای NAT وجود داشت بتوانند ارتباطات را برقرار کنند .

برای برقراری ارتباط PPTP در پشت یک NAT نیاز به این می باشد که نرم افزار NAT از قابلیت PPTP در NAT Editor را پشتیبانی کند . اگر NAT Editor در دستگاه NAT وجود نداشته باشد ، ارتباط PPTP برقرار نخواهد شد . پروتکل L2TP/IPSec هم با دستگاه های NAT و فایروال ها تا حدی مشکل دارد ، برای اینکه این سرویس بتواند به درستی فعالیت کند شما بایستی پورت های شماره 1701 UDP خروجی ، پورت IPSec IKE خروجی به شماره 500 UDP و همچنین پورت 4500 UDP خروجی برای قابلیت NAT Traversal را باز کنیم .

بیشتر فایروال هایی که در مکان های عمومی مثل هتل ها ، سالن های کنفرانس و امثال اینها قرار دارند تعداد پروت های محدودی را باز نگه می دارند ، مثلا پورت 80 برای HTTP و پورت 443 برای HTTPS را باز نگه داشته و مابقی را بلوکه می کنند . خوب در این حالت شما نمی توانید از ارتباطات VPN استفاده کنید ، زیرا پورت های متناظر با آنها در فایروال بسته شده اند .

در مقابل سرویس SSTP این قابلیت را به ما می دهد که بتوانیم ترافیک خود را از درون پروتکل دیگری مثل SSL که از پورت 443 عبور می کند عبور داده و Tunnel خود را بر روی SSL قرار بدهیم . به دلیل اینکه اکثر فایروال ها پورت 443 را بر روی خود باز نگه می دارند دیگر مشکلی در برقراری ارتباط به VPN Server خود نخواهید داشت 

زیرا دیگر نیازی به تعریف پورت جدید در فایروال نخواهید داشت . خوب اضافه شدن این قابلیت به ویندوز سرور 2008 این امکان را به ما می دهد که دیگر بدون دغدغه بسته بودن پورت ها بر روی فایروال در تمامی مکان هایی که صرفا پورت 443 آنها باز هستند ارتباط VPN خود را برقرار کنیم .

ارتباط SSTP VPN چگونه برقرار می شود؟

فرآیندی که در برقراری و ایجاد یک ارتباط از نوع SSTP انجام می شود به شرح مراحل زیر است :

  1. SSTP VPN Client یک ارتباط بر روی یک پورت تصادفی TCP با VPN Gateway را برقرار می کند ، این پورت بر روی پورت 443 مربوط به VPN Gateway منتقل می شود.
  2. SSTP VPN Client پیام SSL Client-Hello به سمت سرور ارسال می کند که به معنی این است که Client قصد برقراری ارتباط از نوع SSL با استفاده از SSTP را دارد ، می باشد .
  3. SSTP VPN Gateway در ادامه Certificate مربوط به کامپیوتر خود را به سمت SSTP VPN Client ارسال میکند.
  4. در ادامه ابتدا SSTP VPN Client در قسمت Trusted Root Certification Authorities به دنبال CA مربوط به SSTP Gateway می گردد تا صحت آن را بررسی کند . پس از بررسی و دریافت صحت CA ، SSTP VPN Client با استفاده از CA یا بهتر بگوییم Public Key مربوط به SSTP VPN Gateway کلیه داده های ارتباطی خود را با استفاده از SSL رمز نگاری کرده و به وسیله SSTP به سمت SSTP VPN Gateway ارسال می کند
  5. SSTP VPN Gateway کلید Session ایجاد شده را با استفاده از Private Key خود رمزگشایی می کند. تمامی ادامه ارتباطی که بین VPN Client و VPN Gateway انجام می شود بصورت رمزنگاری شده به وسیله کلید رمزی است که بین ایندو رد و بدل شده است.
  6. SSTP VPN Client یک درخواست HHTP over SSL یا همان HTTPS را برای SSTP VPN Gateway ارسال می کند.
  7. SSTP VPN Client یک Tunnel از نوع SSTP در بین VPN Client و VPN Gateway ایجاد می کند.
  8. SSTP VPN Client با SSTP Server در خصوص استفاده از PPP بر روی ارتباط ها وارد مذاکره می شود . این مذاکرات شامل شیوه احراز هویت کاربر با استفاده از روش های احزار هویت PPP مانند EAP و غیره می باشد ، و همچنین در خصوص استفاده از IPv4 و یا IPv6 نیز با یکدیگر مذاکره می کنند .
  9. SSTP VPN Client در نهایت شروع به ارسال و دریافت ترافیک بر روی لینک PPP با استفاده از IPV4 یا IPV6 می کند .

برای دوستانی که قصد دارند از واقعیت و زیر و بم اینگونه ارتباط مطلع بشوند شکل شماره الف را در پایین قرار داده ام که میتوانید این روند را بصورت تمام و کمال در آن مشاهده کنید . به این نکته توجه داشته باشید که SSTP یک Header اضافی مشابه Header ای که در بسته های پروتکل های دیگر VPN استفاده می شود را در خود دارد . این Header به دلیل وجود Encapsulation اضافی است که در Header خود SSTP و HTTPS وجود دارد . L2TP و PPTP دارای Header های لایه کاربردی یا هفتم برای Encapsulation داده ها نیستند .


آموزش راه اندازی SSTP

در ادامه ما برای اینکه روش کار SSTP را بهتر برای شما تشریح کنیم از یک مدل با سه کامپیوتر استفاده می کنیم ، نام و ویژگیهای هر ماشین به شکل زیر هستند :

ویندوز ویستا در نقش کلاینت

  • نسخه Business و سرویس پک یک
  • عدم عضویت در دامین

ویندوز سرور 2008 2008RC0-VPNGW در نقش VPN GAteway

  • نسخه Enterprise
  • دارای دو کارت شبکه داخلی و خارجی
  • عضو دامین

ویندوز سرور 2008 در نقش دامین کنترلر

  • دامین کنترلر دامین MSFIREWALL.ORG
  • DHCP سرور
  • DNS سرور
  • Certificate Server

دقت کنید که حداقل بایستی از ویندوز ویستا سرویس پک 1 به عنوان کلاینت استفاده کنید . با اینکه ویندوز XP سرویس پک 3 از پروتکل SSTP پشتیبانی می کند ام ادر برخی اوقات مشکلاتی را به وجود می آورد . در هر صورت به شما پیشنهاد می کنم که برای استفاده از SSTP حتما ویندوز Seven یا سرویس پک 1 ویندوز ویستا را به عنوان کلاینت استفاده کنید . تنظیمات پیشرفته سناریویی که مطرح کردیم را می توانید در شکل زیر مشاهده کنید :

آموزش راه اندازی SSTP سرور

در این قسمت بصورت خلاصه به بررسی برخی از روش ها دسترسی از راه دور یا Remote Access در شبکه پرداختیم ، پروتکل های مهمی که در برقراری ارتباطات VPN به ما کمک می کنند را که در ویندوز های سرور و کلاینت مورد استفاده قرار می گیرند را معرفی کردیم ، و سپس به مسائل امنیتی مربوط به پروتکل های VPN اشاره کردیم .

در ادامه مشاهده کردیم که SSTP چگونه توانست محدودیت های امنیتی و مشکلاتی که در سایر پروتکل های VPN مانند PPTP و L2TP وجود داشت را پوشش دهد . در نهایت به معرفی یک سناریو پرداختیم که در مقاله بعدی به روش های پیاده سازی آن بصورت کاملا عملی و کاربردی خواهیم پرداخت . خوب منتظر مقاله بعدی باشید که بزودی در وب سایت قرار خواهد گرفت.

آموزش راه اندازی SSTP در ویندوز سرور | راه اندازی SSL VPN در ویندوز

 در این قسمت و در ادامه سناریوی قسمت قبلی آموزش راه اندازی یک سرویس SSTP VPN Client را با استفاده از سه ماشین بصورت کاملا عملی را ارائه خواهیم کرد . در قسمت اول از این سری مقالات در مورد تاریخچه VPN در مایکرسافت و همچنین انواع پروتکل های VPN صحبت کردیم . در انتهای قسمت قبلی یک مثال از یک شبکه که از ارتباط SSTP پشتبانی می کند را در قالب یک شکل نشان دادیم و در این قسمت همان سناریو را با استفاده از VPN Gateway پیاده سازی می کنیم .

قبل از اینکه ادامه بدهیم لازم می دانم به شما بگویم که در خصوص آموزش قدم به قدم راه اندازی ارتباطات SSTP مایکروسافت یک آموزش کامل را برای ویندوز سرور 2008 در وب سایت خود قرار داده است که می توانید با مراجععه به وب سایت http://www.microsoft.com به آن دسترسی پیدا کنید.

تنها مشکل این قسمت که در سایت مایکروسافت قرار دارد این است که CA را در یک محیط واقعی قرار نداده است و در وقاع مقاله در قالب سناریو کار نشده است . به همین دلیل تصمیم گرفتم که این مقاله ساده را با همان عنوان و ساختار اما در قالب یک سناریو عملی به شما آموزش دهم . امیدوارم که در ادامه راحت تر بتوانید مطالب را از طریق این مقاله یاد بگیرید .

قصد ندارم از اول بسم الله تمامی مراحل را بررسی کنم ، فرض میکنیم که شما یک DC را نصب کرده اید و بر روی آن نقش های DNS ، DHCP و Certificate Services را نصب کرده اید . نوع Certificate Server که نصب می کنید را Enterprise انتخاب کنید تا براحتی بتواند در شبکه ها و سناریو های بزرگ شما را کمک کند .

قبل از شروع به کار VPN سرور را بایستی به عضویت دامین در بیاورید ، ویندوز ویستا اگر استفاده می کنید حتما سرویس پک 1 را بر روی آن نصب کنید .برای اینکه راهکار ما به درستی کار کند نیاز به انجام دادن درست دستورالعمل های زیر خواهید داشت :

  • نصب IIS برو روی VPN سرور
  • ارسال درخواست Certificate برای سیستمی که بر روی آن VPN سرور نصب شده است از طریق ویزارد IIS
  • نصب سرویس RRAS بر روی VPN سرور
  • فعال کردن سرویس RRAS و انجام تنظیمات برای اینکه بتواند به عنوان VPN و NAT در شبکه فعالیت کند
  • انجام تنظیمات NAT برای انتشار CRL
  • انجام تنظیمات کاربر برای اینکه بتواند از راه دور دسترسی پیدا کند
  • انجام تنظیمات IIS بر روی CA که به به درخواست های HTTP برای گرفتن اطلاعات از CRL directory اجازه ورود بدهد
  • انجام تنظیمات فایل HOSTS بر روی VPN Client
  • استفاده از PPTP برای اتصال به VPN سرور
  • دریافت CA Certificate از Enterprise CA
  • انجام تنظیمات Client برای استفاده از SSTP و ارتباط با VPN سرور با استفاده از SSTP

آموزش نصب IIS بر روی VPN سرور

همیشه به این نکته اشاره داشته ام که شاید این راه کمی خطرناک به نظر برسد ، نصب IIS بر روی یک دستگاه امنیتی قطعا راهکار مناسبی نیست .اما خبر خوب این است که قرار نیست این وب سرور بر روی VPN سرور باقی بماند . ما فقط برای مدت کمی از این وب سرور استفاده خواهیم کرد .

دلیل انجام این کار این است که قابلیت Web Enrollment در Certificate Services ویندوز سرور 2008 در مدل جدید چندان برای درخواست دادن Certificate های مربوط به کامپیوتر مناسب نیست . در حقیقت دیگر کاربردی در این قسمت ندارد .نکته جالب در اینجاست که شما همچنان می توانید از طریق Web Enrollment در خواست یک Computer Certificate بدهید و این Certificate همانند Certificate ای که بر روی کامپیوتر شما نصب شده است کار خواهد کرد 

اما در واقع هیچ Certificate ای بر روی کامپیوتر شما نصب نشده است . برای حل این مشکل ما از مزیت استفاده از یک Enterprise CA استفاده خواهیم کرد . زمانی که شما از یک Enterpsie CA استفاده می کنید شما می توانید در خواست خود را بصورت آنلاین برای یک CA ارسال کنید .

زمانی که شما درخواست Computer Certificate خود را در قالب ویزارد درخواست CA وب سرور IIS ارسال می کنید ، درخواست آنلاین برای صدور Certificate از جانب CA مورد پذیرش قرار خواهد گرفت و در این هنگام به شما Certificate با عنوان Domain Certificate داده خواهد شد . اما به این نکته توجه داشته باشید که این روش صرفا زمانی کاربرد داد که شما از همان دامینی استفاده می کنید که Enterprise CA در آن نصب شده است . خوب عملیات زیر را بر روی VPN سرور برای نصب نقش IIS وب سرور بصورت قدم به قدم انجام دهید :

1-در ویندوز سرور 2008 کنسول Server Manager را باز کنید

2-در قسمت چپ کنسول بر روی Roles کلیک کنید .


راه اندازی سرویس VPN SSTP

شکل 1

3-بر روی لینک Add Roles در قسمت راست کلیک کنید .

4-در صفحه Before You Begin بر روی Next کلیک کنید.

5-در صفحه Select Server Roles چک قسمت Web Server (IIS) را بزنید.

راه اندازی سرویس VPN SSTP

شکل 2

6-اگر دوست داشتید اطلاعات مربوط به Web Server IIS را مطالعه کنید ، در این صفحه اطلاعات خوبی در خصوص استفاده از وب سرور IIS 7 رد اختیار شما قرار می گیرد ، اما به خاطر داشته باشید که ما قرار نیست IIS را بر روی وب سرور IIS نصب شده نگه داریم . این اطلاعات چندان ارتباطی به سناریوی ما ندارد ، بر روی Next کلیک کنید .

7-در صفحه Select Role Services چند عدد از امکانات IIS انتخاب شده اند . بهر حال اگر شما حالت پیشفرض نصب را در نظر گرفته اید قطعا شما امکان استفاده از قابلیت ویزارد درخواست Certificate را نخواهید داشت . این دقیقا همان موردی است که من آن را تست کرده ام ، در واقع هیچ Role ای وجود ندارد به شما این ویزارد را ارائه بدهد ، اما من به این نتیجه رسیدم که در صورتیکه تمامی موارد مربوط به امنیت را از قسمت Security انتخاب کنید به شما این ویزارد نمایش داده خواهد شد ، پس در قسمت Security همه موارد را تیک بزنید ، و سپس Next را بزنید .


راه اندازی سرویس VPN SSTP

شکل 3

8-در قسمت Confirm Installation Selections مروری بر اطلاعات کلی نصب این نقش کرده و سپس Install را بزنید.

9-در صفحه Installation Results بر روی Close کلیک کنید


راه اندازی سرویس VPN SSTP

شکل 4

آموزش ارسال درخواست Machine Certificate برای VPN سرور در IIS

قدم بعدی درخواست کردن یک Machine Certificate برای VPN Server است. VPN سرور برای اینکه بتواند با VPN Client یک ارتباط SSL VPN برقرار کند نیاز به یک Machine Certificate از جانب CA دارد. نام معمول یا Common Name ای که بر روی Certificate قرار دارد بایستی با نام VPN Client که قرار است به SSL VPN Gateway متصل شود کاملا همخوانی داشته باشد .

این بدین معناست که شما به یک DNS سرور خارجی و عمومی برای تبدیل آدرس IP خارجی بر روی VPN سرور خواهید داشت یا اینکه آدرس دستگاه NAT که در مقابل DNS سرور قرار گرفته است بایستی توانایی ارسال ارتباط به SSL VPN سرور را داشته باشد . مراحل زیر را بصورت قدم به قدم برای درخواست و نصب Computer Certificate برای SSL VPN سرور انجام دهید :

1-در کنسول Server Manager قسمت Roles را باز کرده و بر روی Web Server ( IIS) در قسمت چپ کلیک کنید ، و در نهایت بر روی Internet Information Services (IIS) Manager کلیک کنید .

راه اندازی سرویس VPN SSTP

شکل 5

2-در کنسول Internet Information Services (IIS) Manager بر روی نام سرور کلیک کنید ، در این مثال اسم سرور W2008RC0-VPNGW است ، بر روی Server Certificate در کنسول IIS کلیک کنید .


راه اندازی سرویس VPN SSTP

شکل 6

3-در قسمت راست کنسول بر روی لینک Create Domain Certificate کلیک کنید .


راه اندازی سرویس VPN SSTP

شکل 7

4-اطلاعات مربوط به قسمت Distinguished Name Properties را پر کنید . مهمترین قسمت این اطلاعات Common Name است ، ایمن همان اسمی است که VPN Client برای برقراری ارتباط با VPN سرور استفاده می کند . برای اینکه Client ها از بیرون هم بتوانند این اسم را مشاهده کنند بایستی یک DNS سرور عمومی این نام را سرویس دهی کند ، یا آدرس DNS مربوطه به Client بر روی سرور VPN تنظیم شده باشد .در این مثال ما از Common Name به نام sstp.msfirewall.org استفاده می کنیم ، بعدها این آدرس را در تنظیمات فایل HOSTS مربوط به کلاینت انجام خواهیم داد که براحتی بتواند به این سرور متصل شود .


راه اندازی سرویس VPN SSTP

شکل 8

5-در صفحه Online Certification Authority بر روی گزینه Select کلیک کنید . در جعبه دیالوگ Select Certification Authority بر روی نام Enterprise CA کلیک کنید و سپس OK را بزنید . نام شناسه Certificate مربوطه را در قسمت Friendly Name وارد کنید . در این مثال ما از نام SSTP Cert استفاده می کنیم که بعد ها یادمان باشد که برای اتصال به SSTP VPN استفاده می شده است .

راه اندازی سرویس VPN SSTP

شکل 9

6-در صفحه Online Certification Authority بر روی Finish کلیک کنید .


راه اندازی سرویس VPN SSTP

شکل 10

7-این ویزارد ابتدا اجرا شده و سپس ناپدید می شود . بعد از این شما می توانید Certificate مربوطه را در کنسول IIS مشاهده کنید ، بر روی این Certificate دابل کلیکی کنید و در قسمت Common Name قسمتIssued To را مشاهده کنید و در اینجاست که شما کلیک خصوصی یا Private Key مربوط را مشاهده خواهید کرد . OK را کلیک کنید تا صفحه بسته شود .


راه اندازی سرویس VPN SSTP

شکل 11

خوب حالا ما Certificate مورد نظر را داریم و بایستی به سراغ نصب RRAS برویم . این نکته مهم را در نظر داشته باشید که شما بایستی قبل از نصب RRAS آن Certificate را نصب کنید . اگر اینکار را نکنید راه بازگشت بسیار سخت خواهد بود و دیگر از راه های معمولی نمیتوان این عمل را انجام داد و بایستی شما دستورات خاصی را در محیط Command Prompt برای متصل کردن این Certificate به VPN SSL وارد کنید که طبیعتا کار نسبتا دشواری خواهد بود .. همه اینهارا گفتم که یادتان نرود ابتدا Certificate را نصب کنید .

آموزش نصب سرویس RRAS بر روی VPN سرور

برای نصب سرویس RRAS مراحل زیر را به ترتیب انجام دهید :

1-در Server Manager بر روی Roles کلیک کنید و آنرا باز کنید .

2-در قسمت Roles Summary بر روی Add Roles کلیک کنید

3-در صفحه Before You Begin بر روی Next کلیک کنید

4-در قسمت Select Server Roles ، قسمت Network Policy and Access Services را کلیک کنید و Next را بزنید


راه اندازی سرویس VPN SSTP

شکل 12

5-اطلاعات صفحه Network Policy and Access Services را مطالعه کنید ، بیشتر این موارد مربوط به Network Policy Server که به عنوان IAS یا RADIUS سرور در شبکه کار میکند مرتبط هستند و در سناریو ما چندان کاربردی ندارند ، بر روی Next کلیک کنید .

6-در صفحه Select Role Services چک مربوط به Routing and Remote Access Services را بزنید ، با اینکار زیر مجموعه های مربوطه هم نصب خواهند شد ، بر روی Next کلیک کنید .

راه اندازی سرویس VPN SSTP

شکل 13

7-در صفحه Confirm Installation Selections بر روی Install کلیک کنید .

8-در صفحه Installation Results بر روی Close کلیک کنید .

آموزش فعال سازی RRAS و تنظیمات آن برای NAT و VPN

خوب الان سرویس RRAS بر روی سرور نصب شده است ، شما بایستی این سرویس را مانند گذشته فعال کنید . شما به سرویس های NAT و VPN سرور نیاز خواهید داشت ، شاید کمی ابهام برای شما پیش بیاید که این طبیعی است که سرویس VPN را نصب کنیم اما سرویس NAT در اینجا به چه کار ما می آید ؟

دلیل نصب سرویس NAT این است که Client ها خارجی بتوانند به Certificate Server دسترسی پیدا کرده و به CRL متصل شوند. اگر Client نتواند CRL را مشاهده کند ، ارتباط SSTP VPN قطع خواهد شد . برای اینکه بتوانیم دسترسی به CRL را ممکن سازیم ، ما VPN سرور را به گونه ای تنظیم می کنیم که سرویس NAT را نیز ارائه دهد و با استفاده از سرویس Reverse NAT می توانیم CRL را به به بیرون انتشار دهیم .

در محیط های واقعی عملیاتی کار ، شما معمولا چنین کاری انجام نمیدهدی و براحتی با استفاده از فایروالی مثل آیزا سرور CRL را به بیرون انتشار می دهید ، بهر حال در این مثال تنهای فایروالی که ما از آن استفاده می کنیم همان فایروال ویندوز سرور است و بنابراین با استفاده از سرویس Reverse NAT اینکار را انجام می دهیم . مراحل زیر را برای فعال سازی سرویس RRAS انجام دهید :

1-در Server Manager ، نود Roles را باز کنید و در قسمت Network Policy And Access Server بر روی Routing and Remote Access Service کلیک کنید ، بر روی Routing and Remote Access راست کلیک کرده و Configure Routing and Remote Access را انتخاب کنید .


راه اندازی سرویس VPN SSTP

شکل 14

2-در صفحه Welcome to the Routing and Remote Access Server Setup Wizard بر روی Next کلیک کنید.

3-در صفحه Configuration گزینه Virtual private network (VPN) access and NAT را انتخاب و Next را بزنید .

راه اندازی سرویس VPN SSTP

شکل 15

4-در صفحه VPN Connections کارت شبکه ای را که به عنوان کارت شبکه خارجی محسوب می شود را انتخاب کنید ، این امکان در قسمت Network Interfaces قرار دارد . سپس بر روی گزینه Next کلیک کنید .


راه اندازی سرویس VPN SSTP

شکل 16

5-در صفحه IP Address Assignment گزینه Automatically را انتخاب کنید . ما به دلیل داشتن یک DHCP سرور در شبکه داخلی بر روی دامین کنترلر امکان استفاده از چنین سرویسی را داریم . اگر شما دارای DHCP سرور نیستید شما بایستی گزینه From a Specified Range of Addresses را انتخاب کرده و محدوده آدرس IP مد نظر خود را وارد کنید که برای VPN Client ها قابل استفاده باشد . سپس بر روی Next کلیک کنید .


راه اندازی سرویس VPN SSTP

شکل 17

6-در صفحه Managing Multiple Remote Access Servers گزینه No, use Routing and Remote Access to authenticate connection requests را انتخاب کنید . این گزینه را زمانی انتخاب میکنیم که در شبکه NPS یا RADIUS سرور برای احراز هویت وجود ندارد . اگر VPN سرور شما عضو دامین است شما می توانید کاربران خود را با استفاده از دامین احراز هویت کنید و در صورتیکه VPN سرور عضو دامین نمی باشد می توانید از کاربران Local تعریف شده بر روی سرور VPN استفاده کنید . در خصوص استفاده از NPS در یک مقاله جداگانه مفصل صحبت خواهیم کرد . بر روی Next کلیک کنید.


راه اندازی سرویس VPN SSTP

شکل 18

7-خلاصه اطلاعات را از صفحه Completing the Routing and Remote Access Server Setup Wizard مرور کنید و بر روی Finish کلیک کنید .

8-در صفحه Routing and Remote Access بر روی OK کلیک کنید ، این گزینه در خصوص DHCP Relay Agent نیز اطلاعاتی به شما خواهد داد .

9-در سمت چپ کنسول نود Routing and Remote Access را باز کنید و قسمت Ports را مشاهده کنید ، در قسمت میانه صفحه شما پورت های WAN ارتباطی مربوط به SSTP موجود را مشاهده خواهید کرد .


راه اندازی سرویس VPN SSTP

شکل 19

آموزش انجام تنظیمات NAT برای انتشار CRL

همانطوری که قبلا هم اشاره کردم ، SSTP VPN Client ها برای برقراری ارتباط درست با VPN سرور نیازمند دریافت و دانلود CRL هستند .برای انجام این کار شما نیاز دارید که دستگاهی که در مقابل Certificate Server قرار دارد را به گونه ای تنظیم کنید که قادر باشد درخواست های HTTP خارجی برای دریافت CRL را به سمت محل CRL ها بر روی Certificate Server هدایت کند .

نکته در اینجاست که Client ها از کجا بایستی آدرس URL ای که بایستی به آن برای دانلود CRL متصل شوند را دریافت کنند ؟ تمامی این اطلاعات در همان Certificate ای است که Client دریافت می کند ، اگر مجددا در VPN سرور وارد شوید ، و بر روی قسمت Certificate در IIS دابل کلیک کنید ، همانطوری که قبلا هم اینکار را انجام داده اید ، شما قادر خواهید بود این اطلاعات را دریافت کنید .

بر روی تب Details بر روی Certificate کلیک کنید و CRL Distribution Point را باز کنید . در انتهای لیست این قسمت شما نقاط توزیع مختلفی که با توجه به نوع پروتکل مورد استفاده شما برای Certificate در نظر گرفته شده اند را مشاهده خواهید کرد . در شکل پایین شما آدرس URL را به شکلی که در تصویر زیر مشاهده می کنید خواهید دید .

http://win2008rc0-dc.msfirewall.org/CertEnroll/WIN2008RC0-DC.msfirewall.org.crl


راه اندازی سرویس VPN SSTP

شکل 20

به همین دلیل ، شما بایستی یک موجودیت Public DNS ایجاد کنید ، به زبان ساده تر قابلیتی ایجاد کنید که VPN Client ها بتوانند آدرس IP و نام سرور مورد نظر را از طریق Reverse Proxy و همچنین URL که به بیرون Publish شده است پیدا کنند .

در این مثال ما بایستی کاری کنیم که نام win2008rc0-dc.msfirewall.org به آدرس IP متناظر با آن تبدیل شود ، و به کارت شبکه خارجی VPN Server اشاره کند . زمانی که ارتباط به کارت شبکه خارجی VPN سرور رسید VPN Serer با استفاده از قابلیت Reverse Proxy درخواست را به سمت Certificate Server هدایت خواهد کرد.

اگر شما از فایروال های قویتری مانند آیزا سرور استفاده می کنید ، می توانید با استفاده از قابلیت CRL Publishing صرفا CRL را به بیرون و با امنست بیشتر انتشار دهید و دیگر نیازی نخواهید داشت که کلیه وب سایت را به بیرون دسترسی بدهید .

در هر صورت در این مثال ما قابلیت های سناریوی خود را با توجه به محدودیت های نر مافزاری و امکانان موجود ساده ای مانند Reverse Proxy یا همان Reverse Nat انجام می دهید که در سرویس RRAS بصورت پیشفرض وجود دارد .در همینجا خاطرنشان می کنیم که استفاده از آدرس URL پیشفرض سایت ایمن ترین روش استافده از آن نیست 

به دلیل اینکه نام کامپیورت سرور را به راحتی به دیگران نمایش می دهد . شما می توانید یک CDP ( CRL Distribution Point ) ایجاد کنید و با استفاده از این حالت نام سرور خود را از دیگران مخفی نگه دارید . در مورد روش ساختن این CDP در مقاله ای جداگانه صحبت خواهم کرد .

آموزش تنظیمات RRAS جهت ارسال درخواست های HTTP به داخل Certificate Server

1-در قسمت چپ Server Manager نود مربوط به Routing and Remote Access را باز کنید ، و در ادامه نود IPV4 را باز کنید ، بر روی NAT کلیک کنید.

2-در نود NAT ، بر روی کارت شبکه خارجی یا External Interface در میانه صفحه راست کلیک کنید . در این مثال نام کارت شبکه خارجی Local Area Connection است ، از آن Properties بگیرید .


راه اندازی سروی VPN

شکل 21

3-در Local Area Connection Properties بر روی چک Web Server (HTTP ) کلیک کنید ، با اینکار قسمت Edit Service مشاهده خواهد شد ، در قسمت Private Address آدرس IP Certificate Server داخلی را وارد کنید و بر روی OK کلیک کنید .


راه اندازی سرویس VPN

شکل 22

4-در قسمت Local Area Connection Properties کلید OK را بزنید .

راه اندازی VPN

شکل 23

الان سرویس NAT و تنظیمات آن انجام شده است ، می توانیم به سراغ انجام تنظیمات مربوط به CA و SSTP VPN Client ها برویم .

در این قسمت و در ادامه قسمت قبلی در خصوص انجام تنظیمات مربوط به راه اندازی سرور SSTP VPN در ویندوز سرور 2008 بحث کردیم ، ما بر روی VPN Server سرویس IIS را نصب کردیم ، در خواست و نصب Certificate Server را انجام دادیم و سرویس RRAS را به همراه سرویس NAT راه اندازی کردیم . در قسمت بعدی و در تکمیل این مطلب به انجام تنظیمات مربوط به CA و SSTP VPN Client خواهیم پرداخت ، 

در این قسمت از مقاله کمی بایستی در ساختار اکتیودایرکتوری و همچنین تنظیمات وب سایت CA دستکاری کنیم . بعد از آن به انجام تنظیمات VPN Connection بر روی کلاینت رسیده و پس از آن این سری مقالات به اتمام می رسد . در دو قسمت اول از این مقاله آموزشی در خصوص نصب و راه اندازی VPN SSTP ما ابتدا با مبانی شبکه های VPN آشنا شدیم و سپس به انجام تنظیمات سرور پرداختیم .

در این قسمت یک مقدار دستکاری و تنظیمات را در ساختار اکتیودایرکتوری انجام می دهیم در نهایت چند تنظیم کوچک را در وب سایت CA انجام داده و کار را به پایان می رسانیم . در نهایت تنظیمات VPN را برای کلاینت انجام داده و ما به خیر و شما را به سلامت داستان را تمام می کنیم .

آموزش انجام تنظیمات Allow Dial-Up Connections برای کاربر

قبل از اینکه هر کاربری بتواند بصورت دسترسی از راه دور یا با استفاده از Dial-Up Connection به سرور متصل شود می بایست در تنظیمات اکتیودایرکتوری به وی اجازه متصل شدن به این روش را بدهیم . بهترین راه برای ایجاد این دسترسی استفاده از Network Policy Server یا NPS است .

بهرحال ما از NPS در این سناریو استفاده نمی کنیم ، و بایستی این تنظیمات مربوط به کاربر را بصورت دستی انجام دهیم .در آینده یک مقاله کامل در خصوص راه اندازی NPS حتما می نویسم ، و ترکیب کردن آن با SSTP را کاملا شرح خواهم داد .

مراحل زیر را به ترتیب برای اجازه دادن به کاربر برای برقراری ارتباط Dial-Up به سرور و اتصال به SSTP سرور انجام دهید ، در این مثال ما برای کاربر Administrator پیشفرض این دسترسی را ایجاد می کنیم ، مراحل زیر را دنبال کنید :

1-در دامین کنترلر کنسول Active Directory Users and Computers را باز کنید.

2-در این قسمت نود Users را باز کنید و بر روی کاربر Administrator دابل کلیک کنید .

3-وارد تب Dial-In شوید ف تنظیمات پیشفرض بصورت Control access through NPS Network Policy می باشد ، به دلیل اینکه ما در این سناریو NPS نداریم تنظیمات این قسمت را به حالت Allow Access قرار می دهیم و OK را می زنیم .


SSTP VPN

شکل 1

آموزش تنظیمات Certificate Server برای اجازه ورود به HTTP برای دسترسی به CRL

به دلایل مختلفی زمانی که شما ویزارد نصب وب سایت Certificate Services را نصب می کنید ، بصورت خودکار دایرکتوری CRL را به وسیله یک ارتباط SSL ایمن می کند . همزمان که این کار ایده بسیار خوبی برای ایمن سازی است از طرفی دیگر مشکلی وجود دارد ، URI که بر روی certificate قرار می گیرد تنظیم نشده است که از SSL استفاده کند .

از آنجایی که ما از تنظیمات پیشفرض CDP استفاده می کنیم ، ما بایستی تنظیمات SSL موجود بر روی وب سایت CA را خاموش کنیم تا بتوانیم یه مسیر CRL دسترسی پیدا کنیم . مراحل زیر را برای خاموش کردن نیازمندیهای SSL برای دایرکتوری CRL انجام دهید :

1-از قسمت Administrative Tools کنسول Internet Information Services (IIS) Manager را باز کنید .

2-در قسمت چپ کنسول IIS نودها را باز کنید تا به قسمت Sites می رسید ، قسمت Default Website را باز کنید و بر روی CertEnroll مانند شکل زیر کلیک کنید .


SSTP VPN

شکل 2

3-اگر به قسمت میانی کنسول دقت کنید ، در قسمت Virtual Directory گزینه CRL را مانند شکل زیر خواهید دید ، برای اینکه بتوانید محتویات این Virtual Directory را مشاهده کنید بایستی بر روی کلید Content View در قسمت پایین وسط کنسول کلیک کنید .


SSTP VPN

شکل 3

4-بر روی کلید Features View در قسمت پایین وسط کلیک کنید ، و بر روی SSL Settings دابل کلیک کنید .


SSTP VPN

شکل 4

5-در قسمت وسط تصویر SSL Settings را مشاهده خواهید کرد ، از روی قسمت Require SSL چک را بردارید . بر روی گزینه Apply کلیک کنید .

SSTP VPN

شکل 5

6-بعد از اینکه پیغام The changes have been successfully saved را مشاهده کردید کنسول IIS را ببندید .


SSTP VPN

شکل 6

آموزش انجام تنظیمات فایل HOSTS بر روی کلاینت ها

خوب حالا بیشتر توجهمان را به سمت VPN Client می بریم . اولین موضوعی که در خصوص تنظیمات کلاینت بایستی به آن پرداخته شود اعمال تغییرات بر روی فایل HOSTS است به گونه ای که این فایل در نقش یک DNS سرور عمومی برای کلاینت ایفای نقش کند .

ما بایستی دو نام را در این فایل وارد کنیم ، اگر از DNS سرور عمومی استفاده می کنیم نیز بایستی همین تغییرات را در آن اعمال کنیم ، اولین نام ، نام VPN سروری است که در اینترنت موجود است ، این نام همانی است که در certificate ای که به کلاینت داده می شود موجود می باشد ، نام دومی که بایستی در این فایل وارد شود آدرس CDP URL ای است که CA بر روی آن قرار دارد . ما در قسمت دوم از مقاله این نام CDP را به شما نمایش دادیم . این دو اسم را بایستی به شکل زیر در فایل HOSTS وارد شود :

•	192.168.1.73     sstp.msfirewall.org
•	192.168.1.73     win2008rc0-dc.msfirewall.org

مراحل زیر را بر روی فایل HOSTS کلاینت VPN انجام دهید :

1-بر روی منوی استارت کلیک کنید و مسیر c:\windows\system32\drivers\etc\hosts را وارد کنید و Enter را بزنید .

2-بر روی این فایل راست کلیک کنید و Open With را بزنید و سپس Notepad را انتخاب کنید .

3-موارد بالا را در HOSTS فایل وارد کنید ، مطابق همان الگویی که ذکر کردیم ، مطمئن شوید که مراحل را مطابق شکل زیر انجام داده اید .


SSTP VPN

شکل 7

4-ذخیره کنید و از این قسمت خارج شوید .

آموزش استفاده از Connection از نوع PPTP برای اتصال به VPN سرور

خوب دیگه تقریبا داریم به راه اندازی کامل VPN SSTP نزدیک میشیم ! قدم بعدی ایجاد یک Connection بر روی کلاینت ویندوز ویستا برای برقراری ارتباط با ویندوز سرور 2008 یا همان VPN سرور است . ما برای این اینکار را انجام می دهیم زیرا در یک محیط دامین قرار نداریم ، اگر کلاینت عضو دامین باشد بصورت خودکار Certificate مربوط به CA در قسمت Trusted Root Certificate Authorities قرار می گیرد .

اگر در محیط دامین بودیم بصورت خودکار تمامی تظیمات به وسیله قابلیت Auto Enrollment توسط Enterprise CA انجام می شد و این مرحله از کار انجام نمی شد .ساده ترین راه برای انجام اینکار ایجاد یک کانکشن PPTP به سرور VPN از کلاینت ویندوز ویستا است .

بصورت پیشفرض ویندوز سرور 2008 ای که به عنوان VPN سرور در یک سازمان راه اندازی شود از کانکشن PPTP پشتیبانی میکند اما از L2TP و SSTP تا زمانی که تنظیمات دیگری را انجام ندهیم پشتیبانی نمی کند . خوب برای اینکار مراحل زیر را انجام داده تا کانکشن PPTP را ایجاد کنیم :

1-بر روی کامپیوتر کلاینت ، در سمت راست و پایین تصویر بر روی آیکن شبکه راست کلیک کرده و Network and Sharing Center را می زنیم .

2-در پنجره Network and Sharing Center بر روی Set up a connection or network کلیک می کنیم .

3-در صفحه Choose a connection option بر روی Connect to a workplace کلیک و Next را می زنیم .


SSTP VPN

شکل 8

4-در صفحه How do you want to connect قسمت Use my Internet connection (VPN) را انتخاب می کنیم .


SSTP VPN

شکل 9

5-در صفحه Type the Internet address to connect to نام سرور SSTP VPN را وارد کنید . مطمئن شوید که این اسم با اسمی که در Certificate مربوط به SSL VPN Server وجود دارد مشابه است . در این مثال اسم مورد نظر sstp.msfirewall.org است ، نام مقصد یا Destination Name را نیز وارد کنید ، در این مثال SSL VPN را وارد کرده و Next را می زنیم .


SSTP VPN

شکل 10

6-در صفحه Type your user name and password نام کاربری و رمز عبور کاربر سرور را وارد کنید و Connect را بزنید .


SSTP VPN

شکل 11

7-در صفحه You are connected بر روی close کلیک کنید .


SSTP VPN

شکل 12

8-در صفحه Select a location for the “SSL VPN” networkگزینه Work را انتخاب کنید .


SSTP VPN

شکل 13

9-در اعلان UAC بر روی Continue کلیک کنید .

10-در صفحه Successfully set network settings بر روی Close کلیک کنید .


SSTP VPN

شکل 14

11-مشابه شکل بعد در قسمت Network and Sharing Center بر روی لینک View Status در قسمت SSL VPN کلیک کنید . همانطور که مشاهده می کنید در SSL VPN Status کانکشن از نوع PPTP تغریف شده است . SSL VPN Status را Close کنید.

SSTP VPN

شکل 15

12-Command Prompt را باز کنید و دامین کنترلر را ping کنید . در این مثال آدرس IP مربوط به دامین کنترلر 10.0.0.2 است . اگر اتصال VPN شما موفقیت آمیز باشد شما از دامین کنترلر reply موفقیت آمیزی دریافت خواهید کرد .


SSTP VPN

شکل 16

آموزش دریافت Certificate CA از Enterprise CA

کلاینت SSTP بایستی به سروری که به VPN سرور certificate داده است اعتماد یا Trust داشته باشد . برای اینکه این اعتماد برقرار شود ما بایستی Certificate مربوط به CA ای که برای VPN سرور certificate صادر کرده است را بر روی کامپیوتر کلاینت نصب کنیم . برای انجام اینکار بایستی به سرویس Web Enrollment سرور موجود در سایت متصل شده و از طریق شبکه Certificate مربوط به CA مربوطه را در قسمت Trusted Root Certification Authority نصب می کنیم . برای انجام این عملیات مراحل زیر را به ترتیب انجام دهید :

1-در Browser کلاینتی که از طریق ارتباط PPTP به سرور متصل شده است آدرس http://10.0.0.2/certsrv را وارد کنید و Enter را بزنید.

2-در قسمت مربوطه نام کاربری و رمز عبور معتبر را وارد کنید برای مثال در اینجا رمز عبور کاربر Administrator را وارد می کنیم .

3-در صفحه Welcome در قسمت Web Enrollment بر روی Download a CA certificate, certificate chain, or CRL کلیک کنید.

SSTP VPN

تصویر 17

4-در اطلاعیه ای که پیام A website wants to open web content using this program on your computer داده می شود بر روی Allow کلیک کنید و در قسمت Did you notice the Information bar گزینه Close را بزنید.


SSTP VPN

شکل 18

5-توجه کنید که مرورگر به شما پیغامی مبنی بر این خواهد داد که تا زمانی که قابلیت ActiveX فعال نشده است وب شما کارایی لازم را نخواهد داشت ، این البته مشکل خاصی ایجاد نخواهد کرد ، ما CA Certificate را ابتدا دانلود کرده و سپس از طریق کنسول MMC آنرا نصب خواهیم کرد ، بر روی لینک Download CA Certificate کلیک کنید .

SSTP VPN

شکل 19

6-در قسمت File Download – Security Warning بر روی دکمه Save کلیک کنید و Certificate مربوطه را در دسکتاپ ذخیره کنید .


SSTP VPN

شکل 20

7-در قسمت Download Complete بر روی Close کلیک کنید .

8-Internet Explorer را ببندید.

خوب الان وقت آن رسیده است که Certificate دانلود شده را در قسمت Trusted Root Certification Authority بر روی سیستم کلاینت نصب کنیم ، برای اینکار مراحل زیر را دنبال کنید :

1-بر روی منوی استارت کلیک کنید و از قسمت run دستور MMC را وارد کرده و Enter را بزنید.

2-در پیامی که UAC می دهد Continue را انتخاب کنید .

3-در Console1 از منوی File بر روی قسمت Add/Remove Snap-In کلیک کنید .

4-در پنجره Add or Remove Snap-ins بر روی قسمت Certificates از قسمت Available Snap-ins کلیک کرده و Add را بزنیم .

5-در صفحه Certificates snap-in قسمت Computer account را انتخاب کرده و Finish را کلیک کنید.

6-در صفحه Select Computer قسمت Local Computer را انتخاب کرده و Finish را کلیک کنید .

7-در صفحه Add/Remove Snap-in بر روی OK کلیک کنید.

8-در سمت چپ کنسول نود Certificates (Local Computer) را کلیک کرده و قسمت Trusted Root Certification Authorities را باز کنید. بر روی نود Certificates کلیک کرده و سپس بر روی آن راست کلیک کنید ، به قسمت All Tasks رفته و Import را کلیک کنید .


SSTP VPN

تصویر 21

9-در صفحه Welcome to the Certificate Import Wizard بر روی Next کلیک کنید .

10-در صفحه File to Import با استفاده از Browse فایل certificate مورد نظر را پیدا کرده و Next را بزنید .

SSTP VPN

تصویر 22

11-در صفحه Certificate Storage مطمئن شوید که قسمت Place all certificates in the following store انتخاب شده است و Trusted Root Certification Authorities در صفحه مشاهده می شود .


SSTP VPN

تصویر 23

12-در صفحه Completing the Certificate Import بر روی Finish کلیک کنید .

13-در صفحه ای که موفیت آمیز بودن عملیات را نمایش می دهد بر روی OK کلیک کنید .

14-در حال حاضر Certificate مربوط به درستی مطابق شکل زیر به لیست اضافه شده و نصب شده است .

SSTP VPN

شکل 24

15- کنسول MMC را ببندید.

آموزش تنظیمات کلاینت برای اتصال به SSTP با سرویس SSTP

خوب کار سروری ما دیگر تمام شده است و نوبت آن رسید که یک Connection بر روی کامپیوتر کلاینت جهت برقراری ارتباط با سرور SSTP VPN ایجاد کنیم ، خوب اول از همه بایستی ارتباط VPN ای که با سرور در مرحله قبلی ایجاد کردیم را قطع کنیم زیرا در این حالت امکان انجام تنظیمات وجود نخواهد داشت .

در محیط های عملیاتی شما نبایستی به این شکل عمل کنید ، در اینگونه محیط ها شما نبایستی کاری کنید که کاربران مجبور باشند تمامی این تنظیمات را خودشان انجام دهند و می توانید از Connection Manager Administration Kit بر ایجاد Connection مربوط به VPN برای کاربران استفاده کنید و شما براحتی این کانکشن را با تنظیمات انجام شده در اختیار کاربر قرار خواهید داد .

البته این کاملا به محیط کاری شما بستگی دارد ، می توانید در این حین به کاربرانتان اجازه دهید که بتوانند از connection مربوط به PPTP تا زمانیکه تنظیمات SSTP را انجام نداده اید استفاده کنند . البته شما از طرق مختلفی می توانید این certificate را انتشار دهید ، از طریق ایمیل ، دانلود فایل و .... اما بهتر است که همیشه از روش های معقولتر استفاده کنید .

به خاطر داشته باشید که SSTP را کلاینت های بالای ویندوز ویستا سرویس پک یک پشتیبانی می کنند و کلاینت هایی با سیستم عامل قدیمی تر می بایست از PPTP برای اتصال استفاده کنند . در اینجاست که انجام برخی از تنظیمات بصورت دستی اجباری می شود .

یکی دیگر از روش های این است که آدرس SSTP Listener را به آدرس IP مربوط به RRAS به اصطلاح bind کنیم . در این صورت شما می توانید یک بسته CMAK که به یک آدرس IP خاص برو روی SSTP VPN سرور ایجاد کنید که به Connection های SSTP و درخواست های SSTP پاسخگو باشند . سایر پورت ها در RRAS در این حالت صرفا به ارتباطات PPTP و L2TP گوش می دهند . برای اینکه ارتباط PPTP کلاینت را قطع کرده و تنظیمات SSTP مربوطه را انجام دهید مراحل زیر را طی کنید :

1-همانطور که در مراحل قبل نیز انجام دادید بر روی کامپیوتر کلاینت به قسمت Network and Sharing Center بروید .

2- در پنجره Network and Sharing Center بر روی Disconnect کلیک کنید که در همان قسمت View Status ای است که قبلا هم رفته ایم ، در این قسمت SSL VPN را مشاهده خواهید کرد .

3-در قسمت Network and Sharing Center بر روی لینک Manage network connections کلیک کنید .

4-بر روی SSL VPN راست کلیک کرده و Properties را بزنید .


SSTP VPN

شکل 25

5-در قسمت SSL VPN Properties به تب Networking بروید و در لیست کشویی Type of VPN نوع Secure Socket Tunneling Protocol (SSTP) را انتخاب کنید و سپس OK را بزنید .


SSTP VPN

شکل 26

6-بر روی کانکشن SSL VPN دابل کلیک کنید و Connect را بزنید .

7-زمانی که ارتباط برقرار شد بر روی SSL VPN راست کلیک کنید و Status را کلیک کنید.


SSTP VPN

شکل 27

8-در قسمت SSL VPN Status می توانید مشاهده کنید که ارتباط شما از نوع SSTP WAN Connection به درستی برقرار شده است .

SSTP VPN

تصویر 28

9-خوب الان اگر بر روی VPN سرور خود وارد شوید در قسمت Routing and Remote Access Console می توانید ارتباط SSTP ای که تشکیل شده است را به خوبی مشاهده کنید .


SSTP VPN

شکل 29

خلاصه مقاله راه اندازی SSTP سرور

در این قسمت که آخرین قسمت از سری مقالات راه اندازی SSTP VPN شما یاد گرفتید که چگونه تنظیمات نهایی ویندوز سرور 2008 برای سرویس دهی به SSTP را انجام دهید ، و همچنین کلیه تنظیمات مربوط به کلاینت ها را از جمله دریافت CA و ایجاد کانکشن SSTP را یاد گرفتید . در نهایت نیز بر روی کنسول RRAS اتصال کلاینت و Session ای که ایجاد کرده بود را مشاهده کردیم ، امیدوارم که این سری مقالات برای شما دوستان مفید بوده باشد.


محمد نصیری
محمد نصیری

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، بیش از 12 هزار ساعت سابقه تدریس در بیش از 40 سازمان دولتی ، خصوصی و نظامی ، علاقه مند به یادگیری بیشتر و عاشق محیط زیست ، عضو کوچکی از مجموعه توسینسو

03 مهر 1391 این مطلب را ارسال کرده

نظرات