1 / 24

Dolgozni már bárhonnan lehet…

TechNetKlub – Online Class sorozat. Dolgozni már bárhonnan lehet…. Gál Tamás tamas.gal@iqjb.hu Informatikai vezető, vezető oktató IQSoft-John Bryce Oktatóközpont. Tartalom. Bonyolultabb elérés NPAS > RRAS > VPN Egy VPN, ami nem az: DirectAccess Remote Desktop forgatókönyvek

liko
Download Presentation

Dolgozni már bárhonnan lehet…

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. TechNetKlub – Online Class sorozat Dolgozni már bárhonnan lehet… Gál Tamás tamas.gal@iqjb.hu Informatikai vezető, vezető oktató IQSoft-John Bryce Oktatóközpont

  2. Tartalom • Bonyolultabb elérés • NPAS > RRAS > VPN • Egy VPN, ami nem az: DirectAccess • Remote Desktop forgatókönyvek • Egy prémium megoldás: Forefront UAG • Mikor, melyiket?

  3. Bonyolultabb elérés

  4. NPAS > RRAS > VPN • NPAS = Network Policy and Access Server • Nagy-nagy szerepkör, több része van • NPS (benne: NAP), HRA, HCAP… …és a régi jó RRAS • RRAS - Routing and Remote Access Service • Szoftveres router • NAT szerver • Dial-up szerver • Virtual Private Network (VPN) szerver • Szóló VPN(PPTP, LT2P, SSTP és IKEv2) • Site-to-Site VPN (PPTP, L2TP, IPSec)

  5. VPN alapok • A lényeg: úgyanúgy elérni minden erőforrást, mint a védett hálózaton, azaz „bent”. • A működést tekintve három fő protokoll létezik: • Hitelesítési: a kliens ellenőrzése, vagy akár kölcsönösen is • Kulcscsere: a titkosító kulcs és más paraméterek egyeztetése • Csatornaépítés: a tényleges forgalom átvitele • Van, hogy ezek elkülönülnek (pl. PPTP+GRE, vagy IPSec + IKEv1/v2), de léteznek „3 in 1” csomagok: pl. SSTP • A hitelesítés kulcsfontosságú • Ma biztonságos: MSCHAPv2, PEAP, EAP-MSCHAPv2, EAP-TLS

  6. VPN forgatókönyvek Corporate Headquarters Large Branch Office Small Branch Office VPN Server VPN Server VPN Server Medium Branch Office VPN Home Office with VPN Client VPN Server Remote User with VPN Client

  7. Klasszikus VPN protokollok • PPTP • Legrégibb és a legegyszerűbb távelérési protokoll • A legkevésbé biztonságos is • TCP 1723 + IP Protocol 47 (GRE) adatcsatorna • L2TP + IPSec • Layer 2 protokoll • IPSec titkosítás (tanúsítvány vagy pre-shared kulcs) • UDP 500 - IKE, UDP 1701, UDP 4500 (NAT-T)

  8. Modern VPN protokollok • SSTP • Layer 3 VPN tunnel • Alagút, mint a PPTP és L2TP/IPSec, de a VPN (PPP) forgalmat HTTPS-be csomagolja > tűzfal/NAT/proxy barát • Támogatás: csak Vista SP1-től, régebbi klienseken nincs • IKEv2 / VPN Reconnect • IPSec titkosítás (AES 256), UDP500 (IKE), UDP 4500 (NAT-T) • Tanúsítvány vagy jelszó alapú hitelesítés • EAP-MSCHAP v2, PEAP vagy tanúsítvány (szerver oldalon) • MobIKE kiegészítés: gyorsabb és gyorsabban visszaáll > ideális a mobil kliensekhez

  9. Modern VPN protokollok II.VPN Reconnect + MobIKE A VPN Reconnect (IKEv2 VPN) miatt a VPN kapcsolat újra felépül - immár az új közegen keresztül A mobil user elhagyja a WLAN hálót és átkerül egy ADSL linkre A mobil user a WLAN-on keresztül éri el a céges hálózatot VPN-nel ADSL W7 kliens (mobil user) Új internetkapcsolat IKEv2 kompatibilis VPN kiszolgáló (WS08 R2) Alkalmazás szerverek VPN Reconnect Tunnel Internet WLANHotspot Céges hálózat Kapcsolódás a netre A céges hálózat Internet kapcsolata • NAP / IPv4 / IPv6 kompatibilis (váltás is) • SSTP fall-back

  10. Egy VPN, ami nem az: DirectAccess „A hálózatom nem ott van, ahol az épületünk, hanem ahol a felhasználók és az eszközök.” vs. Iroda Otthon/mobil Iroda Otthon/mobil

  11. PPTP / L2TP preshared keys - nem _elég_ biztonságos L2TP - nem tűzfalbarát SSL VPN – nem rugalmas „Felhasználóbarátság” Egyik sem az Kliens felügyeleti lehetőségek Minimális illetve eseti DirectAccess jellemzők VPN problémák • Folyamatos, transzparens, IPSec / IPv6 alapú kapcsolat • Biztonságos, rugalmas, (akár) teljes hozzáférés a kliensek felé is - bárhonnan • Felhasználói oldal: a „megszokott” hozzáférés – bárhonnan • A drága VPN infrastuktúra nélkül

  12. DirectAccessEgy teljes rendszer IPv4 eszközök IPv6 eszközök IPv4 támogatás(pl. 6to4, NAT-PT) IT desktop felügyelet Natív IPv6 +IPSec Lehetővé teszi a DirectAccesskliensek felügyeletét Group Policy, NAP, WSUS IPv6 / IPv4 átalakítás Internet Közvetlen kapcsolat a belső IPv6 erőforrásokkal DirectAccess Server Windows 7kliens IPSec titkosítás és hitelesítés

  13. DA

  14. Windows Server 2008 R2 + Windows7 Csak tartományba léptetett kliensek IPv6 + IPSec IPv6: 6to4, Teredo, IP-HTTPS IPSec: két tunnel, vagy end-to-end Tanúsítványok (nem kell external) Multifaktoros hitelesítés Split tunneling helyett speciális névfeloldás Name Resolution Policy Table (GP) Network Location Server szerepkör DirectAccess - technikai részletek

  15. Remote Desktop forgatókönyvek RD Web Access RD Session Host(s) Remote Desktop kliens RD Virtualization Host(s) RD Connection Broker RD Gateway Licensing kiszolgáló Active Directory

  16. RD Session Host(s) RemoteApp Alkalmazás publikálás (Remote App) Miért adjunk távoli asztalt, ha elég egy alkalmazás ablak is? .rdp, .msi fájlokkal vagy Web Access-en keresztül érhető el RD Web Acces Egyszerű, univerzális mód a RemoteApp-ok és az RDP kapcsolatokhoz De az RDWA önállóan nem működik Űrlap alapú hitelesítés (FBA) Single Sign-On RemoteApp esetén, csak (egységes) tanúsítvánnyal, minimum RDP 7.0 RemoteApp + Web Access RD Connection Broker ill. Publishing RDWeb Access 1. A WAösszeszedi forrásokat 2. A user egy ikon listát látaz IE-ben (akár több RA tartalma plusz a VDI ikonok)

  17. RD WA

  18. HTTPS/ RDP konverzió Nincs szükség az RDP portra, a VPN-re, stb. Védelem a házirendekkel Connection Authorization Policies /Resource Authorization Policies A TS RA / WA „kisérője” is lehet (remote access portál) NAP, NPS integráció Biztonságos eszközátirányítás RD Gateway RD Virtualization Host(s) AD / NAP / NPS RD Session Host 2. RD Gateway feldolgozza a házirende(ke)t 3. Adott esetben (pl. csoporttagság alapján) különböző módon érhetőek el a gépek RD Gateway 1. A felhasználó HTTPS alapú kapcsolatot kezdeményez

  19. RD GW

  20. Egy prémium megoldás: Forefront UAGErőforrás elérés Data Center / Corporate Network DMZ Exchange CRM SharePoint IIS alapú IBM, SAP, Oracle Mobil HTTPS / HTTP Otthon / máshol Layer3 VPN TS/ RDS, Citrix HTTPS (443) Internet DirectAccess Nem-web, pl. fájlszerver Üzleti partnerek AD, ADFS, RADIUS, LDAP…. NPS, FIM • Felügyelt gépek (alkalmazottak)

  21. Mikor, melyiket? • VPN – ha teljes elérés kell • Feltétel: PKI infrastruktúra, kliens konfigurálás is • Előnyök: szerver oldal egyszerűbb, ismertebb, klasszikus • Hátrányok: nem felhasználóbarát, kliens oldal bonyolultabb, ami egyszerű az nem biztonságos, és nem állandó kapcsolat • DirectAccess - ha teljes elérés kell • Feltétel: domain tagság (kliens oldalon), PKI és IP infrastruktúra, IPv6 tranzíció • Előnyök: állandó, és transzparens kapcsolat, biztonságos és rugalmas elérés, nincs kliens konfigurálás • Hátrányok: nagyvállalati kategória, szerver oldal bonyolult, magas rendelkezésre állást önmagában nem nyújt

  22. Mikor, melyiket? • Remote Desktop * - ha az alkalmazások/gépek elérése kell • Feltétel: megfelelő publikálás, PKI infrastruktúra, megfelelő hardver • Előnyök: integrált, skálázható, virtualizációval összeköthető, akár magas rendelkezésre állás is • Hátrányok: korlátozott alkalmazás és platform keret, licence igény • Forefront UAG - ha az alkalmazások/gépek elérése kell • Feltétel: kliens oldali bővítmény(ek), PKI infrastruktúra, megfelelő hardver • Előnyök: széleskörű mindent igényt lefedő, prémium kategória, magas rendelkezésre állás, komoly DirectAccess integráció • Hátrányok: maximálisan nagyvállalati kategória, bonyolult, drága

More Related