Távoli elérés és munkavégzés Üzemeltetői szemmel

1. Távoli elérés és munkavégzésÜzemeltetői szemmel Gál Tamás gtamas@tjszki.hu MCSE, MCSA, MCT, MVP

2. Tartalom • Felvezetés • Windows Server 2003 komponensek • RRAS, VPN, CMAK, RDP • Az RRAS esete az ISA Serverrel • W2K3 üzemeltetés HTTPS-sel • Vista / Longhorn kitekintés • ISA 2006 spéci publikálások > 2007.01.17.

3. FelvezetésA probléma • Még több elérés kell • Távmunkások, mobil felhasználók (otthonról, hotelekből,stb.) • „Drót nélkül” bárhonnan (hotspot-ok, repterek, stb.) • Dolgozók +: partnerek, beszállítók, vevők, stb. • Viszont... • A távoli elérés sosem biztonságos • Nincs felügyelet és központi kezelés • Nincs GP, WSUS, központi AV, szoftvertelepítés, stb.

4. FelvezetésA probléma • Elérés <> biztonság dilemma • Ami szinte biztosan kell 1. A belső webes alkalmazások külső elérése • Webszerverek, SPS, Exhange komponensek 2. A desktop elérése (RDP) 3. VPN • Szimpla, Site-to-Site • Mikor, melyik? Kinek, melyik?

5. ActiveSync Outlook Mobile AccessXHTML, cHTML, HTML FelvezetésInfrastruktúra Wireless Network Network AccessServer (RRAS és/vagy ISA) DHCP Server Domain Controller VPN kliens IAS Server (RADIUS) Dial-up kliens Fiókiroda szoftveres VPN Fiókiroda hardveres VPN OWA, Outlook kliensek

6. Windows Server 2003 komponensek Amire az RRAS képes • Távoli elérés (dialup / VPN) • Site-to-site kapcsolatok (dialup / VPN, DoD) • Átjárás az Internet felé (NAT) • LAN router (több Ethernet interfész esetén) • A fentiek összes kombinációja • Teljesítmény? • Hardver, összetevők, sávszélesség, stb. • http://tinyurl.com/ymmkmd

7. Windows Server 2003 komponensek Amire az RRAS képes • Távelérési házirendek • Üresjárat, max. munkamenet, időbeli szigorítás, stb. • Connection Manager használata (később) • RADIUS (IAS) támogatás • Hitelesítés és házirendek központilag • VPN karantén (csak W2K3) • A VPN kliensek rendszabályozásához

8. Windows Server 2003 komponensekRRAS policy

9. Statikus IP hozzárendelés Visszahívási opciók Statikus útválasztás A „Caller ID” ellenőrzése Távoli elérés jogosultságai! Windows Server 2003 komponensekRRAS opciók a címtárban

10. Poll1

11. Windows Server 2003 komponensek RRAS Firewall • Statikus szűrés + Basic tűzfal • Elsősorban a DMZ-ben vagy teljesen „kintre” helyezett RRAS esetén • Extrák nélkül (stateful, intrusion detection, stb.) • Statikus szűrés (publikus, privát, PPP interfész) • Egyszerű stateless (forrás, cél, port, stb.) • Védheti az RRAS-t és a belső hálót is • Basic tűzfal (VPN és VPN + NAT) • Csak az RRAS-on > host firewall

12. Windows Server 2003 komponensekRRAS Firewall

13. Windows Server 2003 komponensekRRAS - parancssorból is • Netsh – mint mindig • Netsh ras add authtype add authtype [type = ] PAP|SPAP|MD5CHAP|MSCHAP|MSCHAPv2|EAP • Netsh ras add registeredserver • Netsh ras add multilink [type = ] MULTI|BACP • Netsh ras aaaa set authentication [provider =] WINDOWS|RADIUS • Netsh ras dump > “<filename>” • Netsh exec “<filename>”

14. Windows Server 2003 komponensekKis kitérő: RAS + VPN „szerver” a kliensen • W2K, XP, Vista • limitált távoli elérés • 1 kapcsolat • Dial-up, VPN • PPTP, L2TP • Helyi fiók kell hozzá

15. VPN alagút Bújtató protokollok és adatok VPN szerver PPP kapcsolat VPN kliens Domain Controller Az „átvivő” hálózat Hitelesítés DHCP Server IP és DNS szerver hozzárendelés Windows Server 2003 komponensek VPN – a komplett megoldás

16. Windows Server 2003 komponensek VPN - protokollok • Közös tulajdonságok • Pont-pont, TCP-IP alap, „tunelling” protokollok • PPTP (Point-to-Point Tunneling Protocol) • MPPE 128-bit RC4 a titkosításra • MS-CHAPv2 a jelszó alapú hitelesítésre • PKI támogatás is > SmartCard (EAP-TLS) • Egyszerűen NAT-olható • Egyszerű, gyorsan beüzemelhető, biztonságos

17. Windows Server 2003 komponensek VPN - protokollok • L2TP (Layer Two Tunneling Protocol) • Tanúsítvány alapú hitelesítés • IPSec ESP transzport mód • Kölcsönös hitelesítés: tanúsítvány / pre-shared key (!) • Az IPSec pl. 3DES-sel titkosít, egy automatikusan létrejövő filterrel (UDP 1701) • PKI infrastruktúra szükséges • Azaz lényegesen bonyolultabb a beüzemelése, viszont fokozottan biztonságos • NAT-Traversal

18. Windows Server 2003 komponensek Site-to-Site VPN • Kettő vagy több hálózat összekötése • Távoli VPN kiszolgáló • Szoftver / Hardver • PPTP v. L2TP / IPSec v. IPSec • Pre-shared key! • Címkiosztás és útválasztás • IP címtartomány a távoli hálózatnak • A forgalom tipikusan a két hálózat között szükséges • A „hídfők” egyben VPN routerek is

19. Windows Server 2003 komponensek VPN karantén • Alapesetben egy VPN kliensnek szinten mindent szabad • nincs Csoportházirend, központi virusirtó, WSUS, stb. • VPN karantén esetén (W2K3 v. ISA) • Speciális (CMAK), előre elkészített kliens oldali VPN kapcsolatot használunk • RQC.exe + a kapcsolat + a szkript • Engedélyezni és konfigurálni kell a szerveren • RQS.exe, listener • A feltételeink alapján történő kliens oldali vizsgálat eredménye lesz a döntő

20. Windows Server 2003 komponensek VPN karantén VPN Clients Network WebServer DomainController Quarantine script Quarantine remote access policy RQC.exe ISAServer DNSServer FileServer VPN QuarantineClients Network

21. Windows Server 2003 komponensek Connection Manager Administration Kit • Speciális eszköz, amellyel csomagolunk: 1. Előredefiniált VPN kliens beállításokat 2. Kiegészítő eszközöket (opcionálisan) • Az előkészítése eredménye egy .exe fájl • A kliensen pedig: egy testreszabott VPN kapcsolat

22. Connection Manager Administration Kit demó

48. Poll2

49. Windows Server 2003 komponensek Remote Desktop • Helye • Ha több kell, mint a webes alkalmazások • Ha nem akarunk teljes hálózati elérést (VPN) • Remote Desktop Users csoporttagság • 128-bit RC4 az alapértelmezett titkosítás • RDP 6.0 • Vistában alapértelmezett • XPSP2-re és W2K03-ra letölthető (WU/MU)

50. Windows Server 2003 komponensek Remote Desktop • RDP és RDP MMC