windows server 2008 távoli elérés – i
DESCRIPTION
Windows Server 2008 Távoli elérés – I. Szentgyörgyi Tibor EBS MVP Techtutor Informatikai szaktanácsadó közösség [email protected]. Miről lesz szó?. Távelérési protokollok NPAS bemutatása RRAS képességek PPTP L2TP SSTP IKEv2 DirectAccess. RRAS képességek. Távelérési protokollok. - PowerPoint PPT PresentationTRANSCRIPT
Windows Server 2008Távoli elérés – I.Szentgyörgyi TiborEBS MVP Techtutor Informatikai szaktanácsadó közössé[email protected]
Miről lesz szó?
Távelérési protokollokNPAS bemutatásaRRAS képességek
PPTPL2TPSSTPIKEv2
DirectAccess
RRAS képességekTávelérési protokollok
NPAS - Network Policy and Access Service
Windows Server szerepkörRRAS - Routing and Remote Access Service
PPTP, LT2P, SSTP és IKEv2 VPNSite-to-Site VPN – erről majd a pénteki előadáson
NPS – Network Policy ServerRADIUS server és proxyVezeték nélküli 802.1x hitelesítésVezetékes hitelesítés
RRASFeladata:
VPN és dial-up távelérés multiprotocol LAN-to-LAN, LAN-to-WAN, NAT, routeSite-to-Site VPN
Újdonságok:Secure Socket Tunneling Protocol (SSTP)R2: IKEv2 – VPN reconnectTeljes körű IPv6 támogatás
Klasszikus VPN protokollokPPTP
Legegyszerűbb távelérési protokollTCP 1723 vezérlőcsatornaIP Protocol ID 47 (GRE) adatcsatorna
L2TPLayer 2 protokollIPSec titkosítás (tanúsítvány vagy Pre-shared)UDP 500 - IKE, UDP 1701, UDP 4500 (NAT-T)
Modern VPN protokollokIKEv2
IPSec titkosítás (AES 256)Tanúsítvány vagy jelszó alapú hitelesítés
EAP-MSCHAP v2, PEAP vagy cert
VPN ReconnectUDP 500 (IKE), UDP 4500 (NAT-T)
SSTPTCP 443
Modern hitelesítési módszerek
Method Előnyök Hátrányok
EAP-MSCHAPv2 Könnyű bevezetésKönnyű üzemeltetés
Jelszó alapú támadás
EAPTLS Biztonságos PKI infrastruktúra,Tanúsítványok kiadása, Üzembe helyezés
PEAP Biztonságos csatorna a kevésbé biztonságos hitelesítési módszerek átvitelére
NAP integráció
PKI infrastruktúra,Tanúsítványok kiadása, Üzembe helyezés
TitkosításBasic Encription (MPPE 40-bit)Strong Encription (MPPE 56-bit)Strongest Encription (MPPE 128-bit)No EncriptionIPSec
http://en.wikipedia.org/wiki/Microsoft_Point-to-Point_Encryption
RRAS varázslókRemote access (VPN)Remote access (dial-up)Network address translationVPN and NATSecure connection between two private networks
Demó hálózat
LAN10.0.0.0/8
LAN10.0.0.0/8
DC, CA10.1.1.
1
VPN ROUTER
10.1.1.254
VPN Kliens192.168.1.
10
W7 kliensvándorló
demóRRAS konfigurálása
PPTP/L2TP VPN
Kép a demóból
Secure Socket Tunneling Protocol (SSTP)
Új, Layer 3 VPN tunnel Alagút, mint a PPTP és L2TP/IPSec
A PPP forgalmat HTTPS-be csomagoljaVPN hozzáférést biztosít tűzfalakon, NAT eszközökön és web proxy-n keresztülSSTP támogatás:
Vista SP1-től, régebbi klienseken nem is leszWindows Server 2008 (kliens és szerver).
SSTP beállítása - Server RRAS automatikusan létrehozza az SSTP portokat a VPN engedélyezésekorKiszolgálói tanúsítványt kell telepíteniCRL címének elérhetőnek kell lennie
SSTP beállítása - kliensA Windows 7 automatikusan IKEv2 protokollt próbál, utána SSTP-t. Érdemes manuálisan beállítani a protokollsorrendetA kiszolgáló tanúsítványának megbízhatónak kell lennie
SSTP VPNKiszolgáló és ügyfél oldalon
demóRRAS Server
AppServer
Corporate NetworkPublic Network
Internet
Client
DMZ
NPS Server
Establish SSTP Tunnel
(PPP over HTTPS) (3)
Authenticate User (4)
Domain Controller
Tunnel Established. Server gives
various IP parameters to
client (5)
Dial the SSTP connectoid (2)
IP Interface created.
User starts app (6)
SSTP System Level Architecure
DirectAccess
DirectAccess a VPN unokájaCéges hálózat
Mindig csatlakoztatv
a
Automatikusan csatlakozik NAT
és tűzfal mögül is
Frissítések, ellenőrések, csoportházirendekBejelentkezés előtt
Felhasználó hálózati hitelesítése, titkosítás
A DirectAccess kinyújtja a hálózatot a távoli számítógépre és felhasználóra
VPNek csatlakoztatják a felhasználót a hálózathoz
19
DirectAccess csatornákintranet
Infrastruktúra csatorna
Intranet csatorna
Első hitelesít
és
Számítógép tanúsítvány
Computer cert
IPSec-el védettMásodik hitelesítés
Számítógép fiók hitelesítőadatok
Felhasználó vagy Smartcard
Integritás, titkosítás, hitelesítés
Kihívások
Internetes és intranetes bujtató protokollok IPv6 támogatással IPv4-ben
Internetes alagút a kliens Internet-hozzáférésétől függ – Internet, NAT, tűzfal mögött
Internetforgalom titkosítása/hitelesítése (gép-gép vagy gép-hálózat) - PKI szükséges
Client location detection: éppen hol is vagyunk? Interneten vagy céges hálózaton
Céges hálózatInternet
21
Kapcsolódási módszerek
6to4 alagút
Teredo alagútNAT
IPHTTPS alagútNAT
IPv4 Internet
IPv6 in UDP port 3544
IPv6 az IPv4 protokollban
IPv6 in HTTPS
Natív IPv6
ISATAP
IPv6 az IPv4 protokollban
IPv4NAT64
DNS64
Céges hálózat
DirectAccess SERVER
NRPT - name resolution policy table
Internet Céges hálózat
corp.example.com zoneDNS 1 DNS 2DHCP-től
Kapott DNSnls.corp.example.com
NRPT:corp.example.com: DNS 2-től kérdezi leMinden más DNS kérést a kliens hálózati beállításai alapján kéri le
Nincs NRPT
23
NPS
Network Policy Server
NPSA Microsoft új AAA (Authentication, Authorization, Accounting)
kiszolgálója (régebben IAS)Részei:
RADIUS server: RADIUS proxyNetwork Access Protection (NAP) policy server
Házirendeket kezel a NAP kényszerítési módszerekhez
NPS – infrastruktúra
Hálózat hozzáférés
kéréseAz eszköz továbbítja a kérést és a hitelesítő
adatokat az NPS kiszolgálónak
Az NPS megvizsgálja a házirendeket, és
továbbítja a bejelentkezési
információkat a hitelesítő kiszolgálóknak
Ha van egyező házirend, a hitelesítő adatok
helyesek, és esetleg a gép még egészséges is,
akkor engedélyezi a hozzáférést
Az eszköz hozzáférést
biztosít
DHCP ServerRouting and Remote Access Server
802.1x switch
Certificate Authority
Health Registration Authority
Wireless AP
Network Policy Server
NPS házirendekAz alapértelmezett házirendek létrejönnek, amikor egy szolgáltatást engedélyezünk
Connection Request PoliciesEldönti, melyik NPS server dolgozza fel a kérést
Health Policies – Csak a NAP-nál használjukNetwork policies
Hozzáférési szabályok
demóNPSNPS felületeGetting Started – Scenario Configuration WizardsRADIUS kliensek és kiszolgálók
RADIUS kliensek igazából kiszolgálók (Pl. VPN, TMG, Access Point, 802.1x switch)
WLAN hitelesítése RADIUS-al802.11-es vezeték nélküli hozzáférés hitelesítése 802.1x protokoll és RADIUS (NPS) segítségével
Több AP központi szabályozása Hitelesítés AD címtárbólTanúsítvánnyal vagy felhasználónév/jelszó segítségével (EAP-TLS és PEAP)A legtöbb AP-vel együttműködikWindows 7, Vista, XP klienseken
WLAN hitelesítése RADIUS-alHitelesítési módszerek
Jelszó alapú (PAP, CHAP, MSCHAPv2)Tanúsítvány alapú (EAP-TLS)EAP - Extensible Authentication Protocol Bővíthető hitelesítési protokoll (EAP-MSCHAPv2)
Köszönöm a figyelmet