távoli elérés és munkavégzés Üzemeltetői szemmel

Távoli elérés és munkavégzésÜzemeltetői szemmel

Gál Tamá[email protected], MCSA, MCT, MVP

TartalomFelvezetésWindows Server 2003 komponensek

RRAS, VPN, CMAK, RDPAz RRAS esete az ISA ServerrelW2K3 üzemeltetés HTTPS-selVista / Longhorn kitekintés

ISA 2006 spéci publikálások > 2007.01.17.

Még több elérés kellMég több elérés kell Távmunkások, mobil felhasználók Távmunkások, mobil felhasználók ((otthonról, otthonról,

hotelekből,hotelekből, stb.stb.)) „„Drót nélkül” bárhonnan (hotspot-ok, repterek, stb.)Drót nélkül” bárhonnan (hotspot-ok, repterek, stb.) Dolgozók +: partnerek, beszállítók, vevők, stb.Dolgozók +: partnerek, beszállítók, vevők, stb.

Viszont...Viszont... A távoli elérés sosem biztonságosA távoli elérés sosem biztonságos

Nincs felügyelet és központi kezelésNincs felügyelet és központi kezelés Nincs GP, WSUS, központi AV, szoftvertelepítés, stb.Nincs GP, WSUS, központi AV, szoftvertelepítés, stb.

FelvezetésA probléma

Elérés <> biztonság Elérés <> biztonság dilemmadilemmaAmi szinte biztosan kellAmi szinte biztosan kell

1. A belső webes alkalmazások külső elérése1. A belső webes alkalmazások külső elérése Webszerverek, SPS, Exhange komponensekWebszerverek, SPS, Exhange komponensek

2. A desktop elérése (RDP) 2. A desktop elérése (RDP) 3. VPN3. VPN

Szimpla, Site-to-SiteSzimpla, Site-to-Site

Mikor, melyik? Kinek, melyik?Mikor, melyik? Kinek, melyik?

FelvezetésA probléma

Network Access Server (RRAS és/vagy ISA)

IAS Server(RADIUS)

DHCP Server

DomainController

Dial-up kliens

VPN kliens

FelvezetésInfrastruktúra

Fiókiroda hardveres

VPNOWA, Outlook

kliensek

Outlook Mobile AccessXHTML, cHTML, HTML

ActiveSync

WirelessNetwork

Fiókiroda szoftveres

VPN

Windows Server 2003 komponensek Amire az RRAS képes Távoli elérés (dialup / VPN) Site-to-site kapcsolatok (dialup / VPN, DoD) Átjárás az Internet felé (NAT) LAN router (több Ethernet interfész esetén) A fentiek összes kombinációja Teljesítmény?

Hardver, összetevők, sávszélesség, stb. http://tinyurl.com/ymmkmd

Windows Server 2003 komponensek

Amire az RRAS képesTávelérési házirendek Üresjárat, max. munkamenet, időbeli szigorítás, stb.

Connection Manager használata (később)

RADIUS (IAS) támogatás Hitelesítés és házirendek központilag

VPN karantén (csak W2K3) A VPN kliensek rendszabályozásához

Windows Server 2003 komponensekRRAS policy

Visszahívási opciók

Statikus útválasztás A „Caller ID”

ellenőrzése

Távoli elérés jogosultságai!

Statikus IP hozzárendelés

Windows Server 2003 komponensekRRAS opciók a címtárban

Poll1Poll1

Windows Server 2003 komponensek RRAS Firewall Statikus szűrés + Basic tűzfal

Elsősorban a DMZ-ben vagy teljesen „kintre” helyezett RRAS esetén

Extrák nélkül (stateful, intrusion detection, stb.) Statikus szűrés (publikus, privát, PPP interfész)

Egyszerű stateless (forrás, cél, port, stb.) Védheti az RRAS-t és a belső hálót is

Basic tűzfal (VPN és VPN + NAT) Csak az RRAS-on > host firewall

Windows Server 2003 komponensekRRAS Firewall

Windows Server 2003 komponensekRRAS - parancssorból is Netsh – mint mindig

Netsh ras add authtype add authtype [type = ] PAP|SPAP|MD5CHAP|MSCHAP|MSCHAPv2|EAP

Netsh ras add registeredserver Netsh ras add multilink [type = ] MULTI|BACP Netsh ras aaaa set authentication [provider =]

WINDOWS|RADIUS Netsh ras dump > “<filename>” Netsh exec “<filename>”

Windows Server 2003 komponensekKis kitérő: RAS + VPN „szerver” a kliensen W2K, XP, Vista

limitált távoli elérés 1 kapcsolat

Dial-up, VPN PPTP, L2TP

Helyi fiók kell hozzá

VPN alagútBújtató protokollok és adatok

VPN kliens

VPN szerver

IP és DNS szerver hozzárendelésDHCPServer

DomainController

Hitelesítés

PPP kapcsolat

Az „átvivő” hálózat


VPN – a komplett megoldás

Közös tulajdonságokKözös tulajdonságok Pont-pont, TCP-IP alap, „tunelling” protokollokPont-pont, TCP-IP alap, „tunelling” protokollok

PPTP (Point-to-Point Tunneling Protocol)PPTP (Point-to-Point Tunneling Protocol) MPPE 128-bit RC4 a titkosításraMPPE 128-bit RC4 a titkosításra MS-CHAPv2 a jelszó alapú hitelesítésreMS-CHAPv2 a jelszó alapú hitelesítésre PKI támogatás is > SmartCard (EAP-TLS)PKI támogatás is > SmartCard (EAP-TLS) Egyszerűen NAT-olhatóEgyszerűen NAT-olható Egyszerű, gyorsan beüzemelhető, biztonságosEgyszerű, gyorsan beüzemelhető, biztonságos


VPN - protokollok

L2TP (Layer Two Tunneling Protocol)L2TP (Layer Two Tunneling Protocol) Tanúsítvány alapú hitelesítésTanúsítvány alapú hitelesítés IPSec ESP transzport módIPSec ESP transzport mód

Kölcsönös hitelesítés: tanúsítvány / pre-shared key (!)Kölcsönös hitelesítés: tanúsítvány / pre-shared key (!) Az IPSec pl. 3DES-sel titkosít, egy automatikusan Az IPSec pl. 3DES-sel titkosít, egy automatikusan

létrejövő filterrel (UDP 1701)létrejövő filterrel (UDP 1701) PKI infrastruktúra szükségesPKI infrastruktúra szükséges

Azaz lényegesen bonyolultabb a beüzemelése, viszont Azaz lényegesen bonyolultabb a beüzemelése, viszont fokozottan biztonságosfokozottan biztonságos

NAT-TraversalNAT-Traversal


VPN - protokollok

Windows Server 2003 komponensek Site-to-Site VPNKettő vagy több hálózat összekötéseTávoli VPN kiszolgáló

Szoftver / HardverPPTP v. L2TP / IPSec v. IPSec

Pre-shared key!Címkiosztás és útválasztás

IP címtartomány a távoli hálózatnak A forgalom tipikusan a két hálózat között

szükséges A „hídfők” egyben VPN routerek is

Alapesetben egy VPN kliensnek szinten mindent szabad nincs Csoportházirend, központi virusirtó, WSUS, stb.

VPN karantén esetén (W2K3 v. ISA) Speciális (CMAK), előre elkészített kliens oldali VPN

kapcsolatot használunk RQC.exe + a kapcsolat + a szkript

Engedélyezni és konfigurálni kell a szerveren RQS.exe, listener

A feltételeink alapján történő kliens oldali vizsgálat eredménye lesz a döntő

Windows Server 2003 komponensek VPN karantén

ISAServer

DNSServer

WebServer

DomainController

FileServer

Quarantine script

VPN QuarantineClients Network

VPN Clients Network

RQC.exe

Quarantine remote access policy

Windows Server 2003 komponensek VPN karantén


Connection Manager Administration KitSpeciális eszköz, amellyel csomagolunk:Speciális eszköz, amellyel csomagolunk:1. Előredefiniált VPN kliens beállításokat1. Előredefiniált VPN kliens beállításokat2. Kiegészítő eszközöket (opcionálisan)2. Kiegészítő eszközöket (opcionálisan)

Az előkészítése eredménye egy .exe fájlAz előkészítése eredménye egy .exe fájl A kliensen pedig: egy testreszabott VPN kapcsolatA kliensen pedig: egy testreszabott VPN kapcsolat

demó

Connection Manager Administration Kit

Poll2Poll2


Remote DesktopHelyeHelye Ha több kell, mint a webes alkalmazásokHa több kell, mint a webes alkalmazások Ha nem akarunk teljes hálózati elérést (VPN)Ha nem akarunk teljes hálózati elérést (VPN)

Remote Desktop Users Remote Desktop Users csoporttagságcsoporttagság128-bit RC4 128-bit RC4 az alapértelmezett titkosításaz alapértelmezett titkosításRDP 6.0RDP 6.0

Vistában alapértelmezettVistában alapértelmezett XPSP2-re és W2K03-ra letölthető (WU/MU)XPSP2-re és W2K03-ra letölthető (WU/MU)


Remote DesktopRDP és RDP MMCRDP és RDP MMC


RDP over SSL (TLS) SSzerver oldalzerver oldal W2K3SP1 + érvényes CA W2K3SP1 + érvényes CA

(pl. SelfSSL.exe)(pl. SelfSSL.exe) Computer CA, Server authComputer CA, Server auth Privát kulcsos változat a Privát kulcsos változat a

TS Personal Store-banTS Personal Store-ban Kliens oldalKliens oldal

W2W2K, XP, W2K3K, XP, W2K3 Legalább RDP 5.2Legalább RDP 5.2 A tanúsítvány RA tanúsítvány Root CAoot CA-ja-ja


Remote Desktop Web ConnectionEgyszerűen publikálható és frissíthető Egyszerűen publikálható és frissíthető alkalmazások a felhasználók feléalkalmazások a felhasználók felé

Alacsony sávszélesség-igény – akár még Alacsony sávszélesség-igény – akár még modemen is tűrhető sebességmodemen is tűrhető sebesség

Nemcsak Windows platformraNemcsak Windows platformraRégi hardverek számára is ideálisRégi hardverek számára is ideálisAz RDP over SSL-t nem támogatjaAz RDP over SSL-t nem támogatja

webwebbrowserbrowser

IIS IIS ++RDWCRDWC

TerminalTerminalServerServer

http://http://serverserver/tsweb/tsweb

ActiveX controlActiveX control letöltése letöltéseHTTP (80HTTP (80 // TCP TCP))

HTTPS (443HTTPS (443 // TCP TCP))

TSTSover RDP (3389over RDP (3389 // TCP TCP))


Remote Desktop Web Connection

RRAS esete az ISA Serverrel Az ISA Server előnyeiAz ISA Server előnyei

Egy helyen, együtt a tűzfallal Stateful inspection VPN kapcsolatokhoz (is)Rendelkezésre álló hálózattípusok

VPN Clients \ Q VPN Clients \ Remote Sites Más hálózatokhoz kapcsolódás könnyedén Tűzfal szabályok ugyanúgy használhatóak

VPN karantén (W2K Server esetén is)Naplózás, monitorozás korrekt

RRAS esete az ISA Serverrel RRAS <> ISA 2004 (Q838374)RRAS <> ISA 2004 (Q838374)Az RRAS előfeltétel az ISA VPN-hez...

...de végül mindig az ISA győz Az ISA felülírja az RRAS beállításokat

viszont az ISA MMC-ben néhány opció nincs jelen ezért néha muszáj kiigazítani (pl. szkripttel)

Néhány funkció nem működik tovább RRAS csomagszűrés VPN karantén

demó

W2K3 üzemeltetés - HTTPS-sel

https://server:8098

Vista / Longhorn kitekintésMi várható illetve mi van már?Network Access ProtectionNetwork Access Protection

Az összes VPN típusra és a RAS kapcsolatokra isAz összes VPN típusra és a RAS kapcsolatokra is IPv4 / IPv6 szinténIPv4 / IPv6 szintén PEAP + MS-CHAPv2 esetén tanúsítvány sem kellPEAP + MS-CHAPv2 esetén tanúsítvány sem kell Site-to-Site VPN-re viszont nem alkalmazhatóSite-to-Site VPN-re viszont nem alkalmazható

IPv6IPv6 L2TPv6 (Vista / LH) illetve PPTPv6 (Vista SP1 / LH)L2TPv6 (Vista / LH) illetve PPTPv6 (Vista SP1 / LH)

CMAK változásokCMAK változások Többnyelvűség támogatása, DDNS használataTöbbnyelvűség támogatása, DDNS használata

Vista / Longhorn kitekintésHálózati kapcsolatok varázsló és menü

Vista / Longhorn kitekintésMi várható illetve mi van már?Protokoll változások - PPTPProtokoll változások - PPTP

A A 40/56 bit RC4 40/56 bit RC4 ((PPTPPPTP) nincs többé, ergo:) nincs többé, ergo: PPTP esetén használjuk a 128 bites RC4-etPPTP esetén használjuk a 128 bites RC4-et Nem támogatott megoldás: Nem támogatott megoldás: HKLM\System\HKLM\System\

CurrentControlSet\Services\Rasman\Parameters\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto AllowPPTPWeakCrypto = 1= 1

Protokoll változások – L2TPProtokoll változások – L2TP DES és MD5 nincs többé, de DES és MD5 nincs többé, de AES 128 AES 128 / / 256 bit, 256 bit,

3DES 3DES illetve illetve SHA1 SHA1 támogatás vantámogatás van Nem támogatott megoldás: Nem támogatott megoldás: HKLM\System\HKLM\System\

CurrentControlSet\Services\Rasman\Parameters\CurrentControlSet\Services\Rasman\Parameters\AllowL2TPWeakCrypto AllowL2TPWeakCrypto = = 11

Vista / Longhorn kitekintésMi várható illetve mi van már?Hitelesítés változásokHitelesítés változások

EAP-MD5, SPAP EAP-MD5, SPAP ésés az az MSMS--CHAP CHAP törölve törölve PAPPAP**,, CHAP CHAP**, MS, MS--CHAPv2, EAP-MSCHAPv2, EAP-MS--CHAPv2, CHAPv2,

EAP-smartcard/certificate, PEAP-MSEAP-smartcard/certificate, PEAP-MS--CHAPv2, CHAPv2, PEAP-smartcard/certificatePEAP-smartcard/certificate

Az Az L2TP/IPSec L2TP/IPSec kliens jobban vizsgálódik...kliens jobban vizsgálódik... ...a tanúsítványokban (a man-in-the-middle miatt) ...a tanúsítványokban (a man-in-the-middle miatt)

Secure Socket Tunneling ProtocolSecure Socket Tunneling Protocol Újfajta VPN csatornatípus (Vista SP1 + LH Server)Újfajta VPN csatornatípus (Vista SP1 + LH Server) „„VPN over HTTP” (mindenen át: web proxy / NAT)VPN over HTTP” (mindenen át: web proxy / NAT)

*nem ajánlott üzemszerűen, csak pl. PPPoE esetén

További információ Web

Magyar TechNet Portál http://www.microsoft.hu/technet

Minden ami RRAS http://www.microsoft.com/technet/network/rras/

default.mspx

RSS RRAS Team Blog

http://blogs.technet.com/rrasblog/default.aspx

távoli elérés és munkavégzés Üzemeltetői szemmel

Documents