SSL-VPN ZyXEL USG Firewall-Serie ab Firmware Version 4.10 Knowledge Base KB-3512 August 2014 Studerus AG
SSL-VPN SSL-VPN Tunnel über Browser Aufgrund der breiten Unterstützung durch mobile Geräte wie Pads und Smart-Phones etabliert sich SSL-VPN als einfache Alternative zu IPSec-VPN. SSL-VPN benötigt als Client lediglich einen SSLtauglichen Web-Browser und bietet damit verschlüsselten Zugriff auf: beliebige Web-Applikation oder auch Outlook Web Access einen Remote-Desktop via Terminal Server (RDP) oder VNC Dateien einer Datei-Freigabe (File Share) SSL-VPN Full-Tunnel mit Software-Client Die Installation eines dedizierten Software-Clients ermöglicht mit dem sogenannten SSL-Full- Tunnel-Mode auch den vollständigen, transparenten Zugriff auf ein Netzwerk. SSL-VPN 2 KB-3512 / SRU
VORBEREITUNG SSL-User anlegen Für die Nutzung einer SSL-Verbindung benötigen wir auf der USG-Firewall einen Benutzer mit den entsprechenden Rechten. Dem SSL-Benutzer zeigt sich nach dem Login über die USG-Firewall im Browser eine Portalseite mit den entsprechend eingerichteten Diensten. Configuration > Object > User/Group > Add Adress-Objekt für Server erstellen Der Zielrechner mit den Serverdiensten erhält vorteilhafterweise eine fixe IP-Adresse. Elegant lässt sich das über einen statischen DHCP-Eintrag lösen. In unserem Beispiel laufen die Serverdienste auf einem Rechner mit der IP 192.168.10.10. Configuration > Network > Interface > Ethernet > lan1 > DHCP Setting > Static DHCP Table SSL-VPN 3 KB-3512 / SRU
Für den Server erstellen wir jetzt das Adress-Objekt: Configuration > Object Address > Add Hinweis: Es ist nicht möglich, vom gleichen Rechner mehrere unterschiedliche Benutzer- Anmeldungen aufzubauen. Erfolgt die Konfiguration als Administrator (admin) und der Test der SLL-Funktion mit einer anderen Anmeldung (web-user, full-tunnel-user) vom gleichen Rechner aus, geht die Admin-Anmeldung verloren. SSL-VPN 4 KB-3512 / SRU
SSL-VPN WEB-APPLIKATION / REVERSE PROXY Die SSL-Variante Web-Application eignet sich für alle Applikationen, welche sich über den Web- Browser bedienen lassen. Ein bekanntes Beispiel ist Outlook Web Access (OWA). Viele weitere Anwendungen bieten ebenfalls eine Bedienung über den Web-Browser an. In unserem Beispiel verwenden wir den einfachen Web- und FTP-Server WebWeaver (www.brswebweaver.com), welcher nach der Installation über den Port 34010 die Administration erlaubt. Nach dem Einrichten einer SSL-Web-Application loggen wir uns über eine durch den Browser verschlüsselte Verbindung als SSL-Benutzer auf der USG-Firewall ein. Diese leitet dann unsere Zugriffe auf die eingerichtete Anwendung weiter. SSL-VPN 5 KB-3512 / SRU
Im WebWeaver muss unter Options > Server Configuration > Server > Remote Admin die Remote Administration aktiviert und ein Benutzer ausgewählt sein. Das Web-Administrations-Interface ist dann im Browser unter http://server-ip:34010 erreichbar. Das Einrichten des Web Application-Objekts erfolgt über den Objekt-Manager der USG. Der Objekt-Typ ist Web Application, als Server-Typ verwenden wir Web Server. Die unter URL einzutragende Adresse entspricht exakt dem Aufruf, wie er im lokalen Netz im Web-Browser verwendet wird: http://192.168.10.10:34010. Configuration > Object > SSL Application > Add Mit dem soeben erstellten SSL Application-Objekt wird eine neue Access Policy erstellt. Der Name und die Beschreibung lassen sich frei bestimmen. Die Option Zone sorgt mit der Auswahl SSL_VPN dafür, dass für diese Policy die Firewall-Regeln der Zone SSL_VPN gelten. Unter User/Group lassen sich die benötigten Benutzer (oder Gruppen) und unter SSL Application das neu erstellte SSL Application Objekt hinzufügen. In unserem Beispiel sind das der Benutzer web-user und das Objekt WebWeaver_WebAdmin. SSL-VPN 6 KB-3512 / SRU
Configure > VPN > SSL VPN > Add SSL-VPN 7 KB-3512 / SRU
Zum Testen loggen wir uns mit dem Benutzer web-user ein. Wichtig ist, dass für die SSL-VPN-Anmeldung die dafür vorgesehene Schaltfläche SSL VPN benutzt wird. Das SSL-VPN-Portal führt alle freigegebenen Web-Applikationen auf. Ein Klick auf die Auswahl WebWeaver_WebAdmin startet die Weiterleitung auf die Anmelde-, respektive Administrations-Seite von WebWeaver. Die Kommunikation vom Browser zur USG-Firewall läuft dabei verschlüsselt ab, was das entsprechende Symbol in der Adresszeile bestätigt. SSL-VPN 8 KB-3512 / SRU
REMOTE DESKTOP MIT VNC Eine weitere Möglichkeit einer Web Application stellt die Remote-Verbindung auf einen andern Desktop dar. Der Remote-Desktop wird dabei nach dem Aufbau der SSL-Verbindung direkt im Browser dargestellt. Dieses Beispiel nutzt den für verschiedene OS-Versionen (Windows, Linux, Mac OS) erhältlichen VNC-Dienst (Virtual Network Computing). Eine freie Version von VNC steht unter www.uvnc.com als UltraVNC zum Download bereit. Nach der Installation und dem Start des Serverdienstes (UltraVNC Server) wartet VNC auf dem voreingestellten Port 5900 auf Verbindungsanfragen. Unter Windows 7 muss die Windows-Firewall um eine Ausnahme für UltraVNC ergänzt werden (Systemsteuerung > Windows-Firewall > Ein Programm oder Feature durch die Windows-Firewall zulassen > Anderes Programm zulassen > Durchsuchen > winvnc.exe > Hinzufügen). Für den Remotezugang benötigen wir ein zusätzliches SSL Application Objekt vom Typ Web Application und dem Server Type VNC und der IP-Adresse des Zielrechners mit dem VNC-Dienst. Als IP-Adresse verwenden wir das in der Vorbereitung erstellte Address-Objekt MyServer. SSL-VPN 9 KB-3512 / SRU
Das Objekt fügen wir der bestehenden SSL Access Policy unter SSL Application Objects hinzu: Configure > VPN > SSL VPN > Add Der Start der Remotedesktop-Verbindung erfolgt über das SSL-VPN-Portal und die Remote_Desktop Auswahl vom Typ RDP. Nach dem Verbindungsstart fragt der VNC-Dienst nach dem vergebenen Passwort, danach wird der Remote Desktop im Browser dargestellt. Diverse Optionen wie Auflösung und Farbtiefe erlauben die Darstellungsqualität auf die Verbindungsgeschwindigkeit anzupassen. SSL-VPN 10 KB-3512 / SRU
Der Remotedesktop eines Rechners im Internet Explorer: SSL-VPN 11 KB-3512 / SRU
REMOTE DESKTOP MIT RDP (TERMINALSERVER) Seit Windows XP unterstützen alle Windows-Betriebssysteme mit dem Remote Desktop Protokoll (RDP) eine integrierte Lösung für den Remotedesktop. Anstelle einer ungesicherten Remote-Desktop-Verbindung über eine Port-Weiterleitung, zeigt das folgende Beispiel das Vorgehen für die Nutzung über eine verschlüsselte HTTPS-Verbindung. SSL-VPN 12 KB-3512 / SRU
Vorbereitung Windows Unter Windows 8 stellt das Menü Systemsteuerung > System > Remoteeinstellungen im Register Remote die Option Remotedesktop: Remoteverbindung mit diesem Computer zulassen zur Aktivierung der Remotedesktop-Verbindung bereit. Bezeichnung unter Windows 7: Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird. SSL-VPN 13 KB-3512 / SRU
Damit Windows 8 eingehende Verbindungen für Remoteunterstützung akzeptiert, bedarf es eines Eintrages in der Windows-Firewall: Systemsteuerung > Windows-Firewall > Eine App oder ein Feature durch die Windows-Firewall zulassen. Für Remotedesktop beide Optionen Privat und Öffentlich aktivieren. Unter Windows 7 wird die Option als Remoteunterstützung bezeichnet. SSL-VPN 14 KB-3512 / SRU
Die ZyXEL USG Firewall benötigt auch für die Windows Remoteunterstützung ein entsprechendes SSL-Application-Objekt, wiederum vom Typ Web-Application aber mit Server Typ RDP. Als IP-Adresse verwenden wir das Adress-Objekt MyServer unseres des Zielrechners. Das neue Objekt fügen wir der bereits bestehenden SSL Access Policy unter Application Objects zusätzlich hinzu: SSL-VPN 15 KB-3512 / SRU
Beim nächsten Login präsentiert die SSL-Portalseite eine neue Menüposition mit dem Aufruf für die RDP Remote Desktop-Verbindung. Der Client, welcher die Verbindung aufbaut, warnt, dass eine Website eine Remoteverbindung aufbauen will. Vor der Übernahme des Desktops erfolgt eine Benutzerauthentifizierung. Wird der Anmeldename auf dem Login-Fenster noch nicht angezeigt, lässt sich über Anderes Konto verwenden der Anmeldename des entfernten Rechners erfassen. Bei der nächsten Anmeldung listet das Fenster den zuletzt verwendeten Benutzernamen auf. SSL-VPN 16 KB-3512 / SRU
Nach einem kurzen Hinweis für die laufende Benutzeranmeldung auf dem entfernten Rechner zeigt der Browser den Remotedesktop mit den gewohnten Steuerelementen vom Terminal-Server: SSL-VPN 17 KB-3512 / SRU
FILE SHARING Um jederzeit über bestimmte Dateien verfügen zu können, lässt sich über das SSL-Portal auf Datei- Freigaben eines Servers zugreifen. Die gesicherte Verbindung erlaubt das Hoch- und Runterladen von Dateien, sowie einfache Dateioperationen wie Ordner erstellen, Dateien löschen und umbenennen. Voraussetzung für den Zugriff ist, dass bereits eine Freigabe funktioniert. Dazu muss auf dem Rechner die Datei- und Druckfreigabe für Microsoft Netzwerke aktiv sein. Die Freigabe eines Ordners legt auch den Freigabename fest. Im Beispiel geben wir von einem Ordner mit dem Freigabenamen Share aus. Der Shared Path muss exakt so eingegeben werden, wie er im Netzwerk selbst die Verbindung herstellen würde. SSL-VPN 18 KB-3512 / SRU
Das neue Objekt fügen wir dann ebenfalls der bereits bestehenden SSL Access Policy unter Application Objects hinzu: Nach erfolgreichem Verbindungsaufbau zur USG-Firewall führt die SSL-Portalseite unter File Sharing die eingerichtete Freigabe auf. Ein Klick auf das Icon initiiert die Anmeldung an die Freigabe. Dazu ist der Benutzername und das Passwort der entsprechenden Freigabe, respektive Benutzername und das Passwort des kontaktierten Rechners nötig. Das Portal listet nun alle Dateien der Freigabe auf. Die Dateien lassen sich herunterladen, bearbeiten und je nach Benutzerrechten auf der Freigabe auch wieder hochladen. SSL-VPN 19 KB-3512 / SRU
SSL-VPN 20 KB-3512 / SRU
FULL NETWORK ACCESS Im Full-Tunnel-Mode wird eine direkte Netzwerkverbindung vom Client ins Zielnetzwerk erstellt. Die Netzwerkressourcen des Zielnetzes lassen sich so auf die gleiche Art nutzen, als stünde der Client direkt im angewählten Netzwerk. Die Anmeldung erfolgt für den Benutzer normal über die Anmeldeseite der USG-Firewall. Nach erfolgter Authentifizierung wird über den Browser die Installation und Ausführung des SecuExtenders initialisiert. Die Installation muss pro Client nur einmal ausgeführt werden. Jeder weitere Verbindungsaufbau erfolgt danach wesentlich schneller und ohne Benutzerinteraktion. Der SecuExtender erstellt auf dem Client eine zusätzliche virtuelle Netzwerkkarte. Diese erhält von der USG-ZyWALL eine IP-Adresse aus einem neuen, eigens dafür eingerichteten IP-Range. Die IP- Adressen müssen aus einem neuen, noch nicht verwendeten Subnetz stammen! Das dazu erforderliche Adress Objekt wird über Configuration > Object Address > Add erstellt. Als Adress-Typ wählen wir diesmal Range und setzen den Bereich auf 192.168.111.33 bis 65. SSL-VPN 21 KB-3512 / SRU
Für den Full-Tunnel-Zugriff wird nach dem Login über den Browser automatisch der dazu erforderliche SecuExtender gestartet. Es macht daher Sinn, für einen Benutzer mit Full-Tunnel-Zugriff einen eigenen Account einzurichten. Den Benutzer full-tunnel-user erstellen wir dazu über den Objekt- Manager Configuration > Object > User/Group > Add Frühe v3.x-firmware-versionen erforderten noch das Erstellen einer Firewall-Regel, damit die Datenpakete aus dem SSL-Tunnel nicht verworfen wurden. Für die aktuellen Firmware-Versionen besteht bereits eine vordefinierte Regel, welche automatisch zur Anwendung gelangt, wenn beim folgenden Erstellen der SSL-Access-Policy die vordefinierte Zone SSL_VPN übernommen wird: Configuration > Security Policy > Policy Control SSL-VPN 22 KB-3512 / SRU
Damit die Installation des SecuExtenders nicht für jeden Benutzer von SSL-VPN automatisch startet, erstellen wir eine neue Access Policy. Diese kann, muss aber keine anderen SSL-VPN-Objekte enthalten. Nebst der Option Join SSL_VPN Zone und dem Benutzer full-tunnel-user beschränken wir uns in diesem Beispiel auf den Bereich Network Extension. Den Assign IP Pool bestimmen wir über das vorgängig erstellte Adress-Objekt. Unter Network List wählen wir dasjenige Subnetz aus, in welches wir über den Tunnel Zugriff gewähren wollen. Die folgenden Schritte zeigen den Verbindungsaufbau mit Windows und dem Internet Explorer. Je nach Betriebssystem und Browser kann der Ablauf geringfügig variieren. SSL-VPN 23 KB-3512 / SRU
Nach dem Login mit dem Benutzer full-tunnel-user weist der Browser daraufhin, dass ein Add-On zur Installation bereitsteht. Folgen Sie den Anweisungen, um die Installation auszuführen. 1 2 Die Installation erfordert einmalig Administrationsrechte! Nach der Installation startet der SecuExtender auch mit eingeschränkten Benutzerrechten. 3 5 4 SSL-VPN 24 KB-3512 / SRU
Der SecuExtender startet nun automatisch nach dem SSL-VPN-Login für den Full-Tunnel-User. Jeder Verbindungsaufbau bestätigt der SecuExtender mit einem Statusfenster. Ein Symbol im Infobereich gibt Auskunft, ob der Tunnel gerade aufgebaut (grün) oder getrennt ist (orange). Für die Deinstallation des SecuExtenders führt die Systemsteuerung unter installierte Anwendungen ein Eintrag auf. SSL-VPN 25 KB-3512 / SRU
In der Eingabeaufforderung zeigt der Befehl ipconfig die aktuellen Netzwerkeinstellungen an. Die virtuelle Netzwerkkarte 'SecuExtender' erhielt die erste Adresse aus dem IP-Range des Adress-Objekts SSL_IP_Pool. Ein Ping auf die Adresse eines Rechners im Ziel-Netz, zum Beispiel auf unseren Server 'MyServer' auf 192.168.10.10, zeigt, ob wir unseren Tunnel korrekt konfiguriert haben und die Verbindung erfolgreich aufgebaut wurde. Achtung: Aktuelle Windows-Versionen mit integrierter Firewall antworten standardmässig nicht auf Ping! Entweder muss über die erweiterten Einstellungen die Antwort für ICMPv4 freigegeben oder die Firewall für den Test gänzlich deaktiviert werden. SSL-VPN 26 KB-3512 / SRU
Anstatt über die SSL-Portalseite auf Dateien einer Freigabe zuzugreifen, können wir nun direkt die Dateifreigabe auf unserem Server aufrufen. Nach Eingabe des Pfades \\192.168.10.10\Share in der Adresszeile eines Ordners folgt das Anmeldefenster für die Benutzerdaten der entsprechenden Freigabe. Der Ordner zeigt jetzt alle Dateien der Freigabe an. Auf diese Dateien hat jede Anwendung im Rahmen der Benutzerrechte direkten Zugriff. SSL-VPN 27 KB-3512 / SRU
Die im Abschnitt REMOTE DESKTOP MIT RDP aufgesetzte Remotedesktop-Verbindung lässt sich nun auch direkt über den Tunnel auf die lokale IP 192.168.10.10 aufrufen. SSL-VPN 28 KB-3512 / SRU