1 / 31

Windows Server 2008 Távoli elérés – I .

Windows Server 2008 Távoli elérés – I. Szentgyörgyi Tibor EBS MVP Techtutor Informatikai szaktanácsadó közösség Tibor@halasztelek.hu. Miről lesz szó?. Távelérési protokollok NPAS bemutatása RRAS képességek PPTP L2TP SSTP IKEv2 DirectAccess. RRAS képességek. Távelérési protokollok.

kaye-moon
Download Presentation

Windows Server 2008 Távoli elérés – I .

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows Server 2008Távoli elérés – I. Szentgyörgyi Tibor EBS MVP Techtutor Informatikai szaktanácsadó közösség Tibor@halasztelek.hu

  2. Miről lesz szó? • Távelérési protokollok • NPAS bemutatása • RRAS képességek • PPTP • L2TP • SSTP • IKEv2 • DirectAccess

  3. RRAS képességek Távelérési protokollok

  4. NPAS - Network Policy and Access Service • Windows Server szerepkör • RRAS - Routing and Remote Access Service • PPTP, LT2P, SSTP és IKEv2 VPN • Site-to-Site VPN – erről majd a pénteki előadáson • NPS – Network Policy Server • RADIUS server és proxy • Vezeték nélküli 802.1x hitelesítés • Vezetékes hitelesítés

  5. RRAS • Feladata: • VPN és dial-up távelérés • multiprotocol LAN-to-LAN, LAN-to-WAN, NAT, route • Site-to-Site VPN • Újdonságok: • Secure Socket Tunneling Protocol (SSTP) • R2: IKEv2 – VPN reconnect • Teljes körű IPv6 támogatás

  6. Klasszikus VPN protokollok • PPTP • Legegyszerűbb távelérési protokoll • TCP 1723 vezérlőcsatorna • IP Protocol ID 47 (GRE) adatcsatorna • L2TP • Layer 2 protokoll • IPSec titkosítás (tanúsítvány vagy Pre-shared) • UDP 500 - IKE, UDP 1701, UDP 4500 (NAT-T)

  7. Modern VPN protokollok • IKEv2 • IPSec titkosítás (AES 256) • Tanúsítvány vagy jelszó alapú hitelesítés • EAP-MSCHAP v2, PEAP vagy cert • VPN Reconnect • UDP500 (IKE), UDP 4500 (NAT-T) • SSTP • TCP 443

  8. Modern hitelesítési módszerek

  9. Titkosítás • Basic Encription (MPPE 40-bit) • Strong Encription (MPPE 56-bit) • Strongest Encription (MPPE 128-bit) • No Encription • IPSec http://en.wikipedia.org/wiki/Microsoft_Point-to-Point_Encryption

  10. RRAS varázslók • Remote access (VPN) • Remote access (dial-up) • Network address translation • VPN and NAT • Secure connection between two private networks

  11. LAN 10.0.0.0/8 Demó hálózat W7 kliens vándorló VPN Kliens 192.168.1.10 DC, CA 10.1.1.1 VPN ROUTER 10.1.1.254

  12. RRAS konfigurálása • PPTP/L2TP VPN

  13. Secure Socket Tunneling Protocol (SSTP) • Új, Layer 3 VPN tunnel • Alagút, mint a PPTP és L2TP/IPSec • A PPP forgalmat HTTPS-be csomagolja • VPN hozzáférést biztosít tűzfalakon, NAT eszközökön és web proxy-n keresztül • SSTP támogatás: • Vista SP1-től, régebbi klienseken nem is lesz • Windows Server 2008 (kliens és szerver).

  14. SSTP beállítása - Server • RRAS automatikusan létrehozza az SSTP portokat a VPN engedélyezésekor • Kiszolgálói tanúsítványt kell telepíteni • CRL címének elérhetőnek kell lennie

  15. SSTP beállítása - kliens • A Windows 7 automatikusan IKEv2 protokollt próbál, utána SSTP-t. Érdemes manuálisan beállítani a protokollsorrendet • A kiszolgáló tanúsítványának megbízhatónak kell lennie

  16. demó SSTP VPN Kiszolgáló és ügyfél oldalon

  17. DirectAccess

  18. DirectAccess a VPN unokája Céges hálózat Bejelentkezés előtt Mindig csatlakoztatva Frissítések, ellenőrések, csoportházirendek Felhasználó hálózati hitelesítése, titkosítás Automatikusan csatlakozik NAT és tűzfal mögül is VPNek csatlakoztatják a felhasználót a hálózathoz A DirectAccesskinyújtja a hálózatot a távoli számítógépre és felhasználóra

  19. DirectAccess csatornák intranet Integritás, titkosítás, hitelesítés IPSec-el védett Első hitelesítés Második hitelesítés Infrastruktúra csatorna Számítógép fiók hitelesítőadatok Computer cert Intranet csatorna Számítógép tanúsítvány Felhasználó vagySmartcard

  20. Kihívások Internet Céges hálózat Internetes és intranetes bujtató protokollok IPv6 támogatással IPv4-ben Internetes alagút a kliens Internet-hozzáférésétől függ– Internet, NAT, tűzfal mögött Internetforgalom titkosítása/hitelesítése (gép-gép vagy gép-hálózat) - PKI szükséges Client location detection: éppen hol is vagyunk? Interneten vagy céges hálózaton

  21. Kapcsolódási módszerek DirectAccess SERVER Natív IPv6 IPv4 Internet ISATAP 6to4 alagút IPv6 azIPv4 protokollban IPv6 azIPv4 protokollban Céges hálózat Teredoalagút DNS64 NAT IPv6 in UDP port 3544 NAT64 IPv4 IPHTTPS alagút NAT IPv6 in HTTPS

  22. NRPT - name resolution policy table corp.example.com zone DNS 2 nls.corp.example.com DNS 1 DHCP-től Kapott DNS Internet Céges hálózat NincsNRPT NRPT: corp.example.com: DNS 2-től kérdezi le Minden más DNS kérést a kliens hálózati beállításai alapján kéri le

  23. NPS Network Policy Server

  24. NPS A Microsoft új AAA (Authentication, Authorization, Accounting) kiszolgálója (régebben IAS) • Részei: • RADIUS server: • RADIUS proxy • Network Access Protection (NAP) policy server • Házirendeket kezel a NAP kényszerítési módszerekhez

  25. Hálózat hozzáférés kérése Ha van egyező házirend, a hitelesítő adatok helyesek, és esetleg a gép még egészséges is, akkor engedélyezi a hozzáférést Az eszköz hozzáférést biztosít Az eszköz továbbítja a kérést és a hitelesítő adatokat az NPS kiszolgálónak Az NPS megvizsgálja a házirendeket, és továbbítja a bejelentkezési információkat a hitelesítő kiszolgálóknak NPS –infrastruktúra Network Policy Server 802.1x switch Wireless AP DHCP Server Routing and Remote Access Server Certificate Authority Health Registration Authority

  26. NPS házirendek • Az alapértelmezett házirendek létrejönnek, amikor egy szolgáltatást engedélyezünk • Connection Request Policies • Eldönti, melyik NPS server dolgozza fel a kérést • Health Policies – Csak a NAP-nál használjuk • Networkpolicies • Hozzáférési szabályok

  27. NPS • NPS felülete • GettingStarted – ScenarioConfigurationWizards • RADIUS kliensek és kiszolgálók • RADIUS kliensek igazából kiszolgálók (Pl. VPN, TMG, Access Point, 802.1x switch)

  28. WLAN hitelesítése RADIUS-al • 802.11-es vezeték nélküli hozzáférés hitelesítése 802.1x protokoll és RADIUS (NPS) segítségével • Több AP központi szabályozása • Hitelesítés AD címtárból • Tanúsítvánnyal vagy felhasználónév/jelszó segítségével (EAP-TLS és PEAP) • A legtöbb AP-vel együttműködik • Windows 7, Vista, XP klienseken

  29. WLAN hitelesítése RADIUS-al • Hitelesítési módszerek • Jelszó alapú (PAP, CHAP, MSCHAPv2) • Tanúsítvány alapú (EAP-TLS) • EAP - Extensible Authentication ProtocolBővíthető hitelesítési protokoll (EAP-MSCHAPv2)

  30. Köszönöm a figyelmet

More Related