Наступает момент, когда нужно иметь информацию об удалённых подключениях сотрудников предприятия в виде отчёта.

Когда становится вопрос о выполнении рабочих обязанностей за пределами компании, для системного администратора появляются дополнительные хлопоты, чтобы сотрудникам предоставить удалённый доступ. Потому нужно предусмотреть безопасный способ связи с внешним миром, настроить оборудование и\или инсталлировать дополнительное программное обеспечение, обучить персонал, производить мониторинговую работу удалённых подключений и многое другое, а также по требованию руководства ещё и предоставлять отчёт о количестве и времени подключений работников.

Будем считать, что оборудование (Cisco ASA 5505) и ПО (FreeRADIUS+daloRADIUS, MS Excel, анализаторы лог-файлов или другое) уже установлены и настроены. Рассмотрим последовательность шагов от создания доступа пользователю до формирования отчёта.

 

Создание VPN-доступа

За безопасную связь с внешним миром отвечает межсетевой экран Cisco ASA 5505 [ http://www.vtkt.ru/articles/network_security/firewall_cisco_asa_5505.php ], где создадим логин для нового пользователя и предоставим ему необходимый доступ.

Первым делом в режиме конфигурирования (после подключения к маршрутизатору вводится команда Enable, а затем – Configure terminal) выполним команду, которая создает логин пользователя и назначает ему пароль с применением шифрования:

Username din.sv password 111 mschap

Далее заходим в атрибуты созданного пользователя:

Username din.sv attributes

и назначаем ему свободный IP-адрес из сети аппаратного фаервола (в моём случае пул 192.168.9.0\24), который будет присваиваться (соответствовать) при каждом его удалённом подключении:

vpn-framed-ip-address 192.168.9.99 255.255.255.0

Таким образом межсетевой экран будет понимать, что находящегося за пределами компании пользователя можно пропускать дальше в корпоративную сеть, предоставив ему полный доступ.

Если же необходимо создать более ограниченный доступ, например, подключение только к конкретному серверу, то делается это с помощью Access List [ https://popravak.wordpress.com/2011/11/05/cisco-asa-vpn-filter-as-i-see-it/ ]:  

access-list VPN_FOR_WEB extended permit tcp any host 192.168.2.40 eq www

access-list VPN_FOR_WEB extended permit udp any host 192.168.6.5 eq domain

а затем список разрешений (ограничений) применяется для конкретного логина пользователя:

vpn-filter value VPN_FOR_WEB

Может возникнуть необходимость не удалять, а временно заблокировать логин работника, например, на период отпуска. В этом помогут следующие команды:

username din.sv attributes

vpn-simultaneous-logins 0

На этом работа с маршрутизатором завершена. Далее необходимо настроить VPN-подключение на устройстве сотрудника.

 

Настройка VPN-доступа для мобильных устройств

В нашей организации мобильные устройства имеют большую популярность, поэтому их нужно уметь настраивать. Различия в настройках между фирмами-производителями и операционными системами конечно же имеются, но они не являются сложными или запутанными. Основное – это найти место расположения VPN-подключения. Для примера будет задействован Android. При этом нужно учитывать, если не был установлен пароль (графический или цифровой) на включение устройства, то необходимо активировать данную функцию, иначе VPN-подключение не получится создать.

Итак, создаём новое VPN-подключение: даём название, указываем внешний IP-адрес сервера или соответствующее ему имя, выбираем тип подключения (в нашем случае L2TP) и вводим пароль, вписываем учётные данные пользователя (см. рис. 1).

Рисунок 1. Настройка VPN-подключения на Android.

После этого можно браузером зайти на внутренний портал компании, установить его основным, для удобства вынести ярлык на рабочий стол.  

Теперь нужно позаботиться о подключении сетевого диска, где хранятся все документы пользователя. Для этого запускаем ES-проводник, заходим в Сеть->Создать->LAN и заполняем поля: Домен (es.corp), Сервер (192.168.14.17/Docs), вводим доменную учётную запись пользователя, даём правильное название появившемуся сетевому диску (см. рис. 1).

 

Настройка VPN-доступа для Windows-компьютеров

Настройку удалённого подключения придётся делать не только на мобильных устройствах, но и компьютерах сотрудников. Опишем основные действия для ОС Windows 10 [ http://windowsprofi.ru/win10/nastrojka-vpn-windows-10.html ].

            Заходим в Пуск->Параметры->Сеть и Интернет->VPN, жмём на кнопку Добавить VPN-подключение, заполняем поля (см. рис. 2).

Рисунок 2. Настройка VPN-подключения на ОС Windows 10.

Чтобы проверить настройки подключения или внести исправления, то необходимо будет зайти в его свойства (в Центре управления сетями и общим доступом), в первой вкладке – Общие – можно изменять имя, в третьей вкладке – Безопасность – пароль для типа подключения L2TP по нажатию на кнопку Дополнительные параметры. Ниже должна быть установлена галочка Протокол Microsoft CHAP версии 2 (см. рис. 2).

Чтобы у пользователя не пропал интернет после установки VPN-соединения, нужно снять галочку Использовать основой шлюз удалённой сети. Для этого необходимо в свойствах подключения перейти на вкладку Сеть, зайти в свойства протокола IPv4 и нажать кнопку Дополнительно.

В Центре управления сетями и общим доступом (или в правом нижнем углу, где имеются найденные WiFi-точки) появится VPN-подключение, на нём нужно нажать левой копкой мыши, а затем - кнопку Подключиться. После этого сотрудник удалённым рабочим столом может соединиться с сервером (зная имя или IP-адрес) или же работать из браузера, если имеются веб-задачи.

 

Работа с daloRADIUS

Программное обеспечение daloRADIUS [ http://yvision.kz/post/635887https://ru.scribd.com/document/337456525/DaloRADIUS-Users-Manual ] представляет собой усовершенствованную веб-платформу, которая управляет FreeRADIUS Server. daloRADIUS выводит информацию о времени нахождения пользователя в локальной сети и количестве скачанного трафика, формирует графические отчёты, имеет билинговый механизм, интегрируется с GoogleMaps API и другое.

Для отображения vpn-пользователей заходим браузером по адресу https://<IP адрес сервера>/daloradius, в меню переходим на вкладку Accounting, слева на панели будут доступны несколько полей для фильтрации запроса, среди которых нам будут полезны (см. рис. 3):

  • Accounting – вывод полного списка записей относительно введённого логина;
  • Accounting - вывод полного списка записей относительно введённого IP-адреса;
  • Accounting - вывод списка записей относительно введённой даты и логина.

Рисунок 3. Веб-интерфейс daloRADIUS.

daloRADIUS сохраняет и выводит все записи в табличном виде, независимо от активности сотрудника. А это огромное количество информации (в минуту несколько новых записей) при этом сотрудник имеет только одно подключение. С полученными данными не очень удобно работать, поэтому их нужно преобразовать. Для этого мы произведём экспорт данных в MS Excel, нажав на кнопку CSV Export.

 

Продолжение следует...