Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Távoli elérés és munkavégzés Üzemeltetői szemmel

Hasonló előadás


Az előadások a következő témára: "Távoli elérés és munkavégzés Üzemeltetői szemmel"— Előadás másolata:

1 Távoli elérés és munkavégzés Üzemeltetői szemmel
Gál Tamás MCSE, MCSA, MCT, MVP

2 Tartalom Felvezetés Windows Server 2003 komponensek
RRAS, VPN, CMAK, RDP Az RRAS esete az ISA Serverrel W2K3 üzemeltetés HTTPS-sel Vista / Longhorn kitekintés ISA 2006 spéci publikálások >

3 Felvezetés A probléma Még több elérés kell Viszont...
Távmunkások, mobil felhasználók (otthonról, hotelekből, stb.) „Drót nélkül” bárhonnan (hotspot-ok, repterek, stb.) Dolgozók +: partnerek, beszállítók, vevők, stb. Viszont... A távoli elérés sosem biztonságos Nincs felügyelet és központi kezelés Nincs GP, WSUS, központi AV, szoftvertelepítés, stb.

4 Felvezetés A probléma Elérés <> biztonság dilemma
Ami szinte biztosan kell 1. A belső webes alkalmazások külső elérése Webszerverek, SPS, Exhange komponensek 2. A desktop elérése (RDP) 3. VPN Szimpla, Site-to-Site Mikor, melyik? Kinek, melyik?

5 Felvezetés Infrastruktúra
ActiveSync Outlook Mobile Access XHTML, cHTML, HTML Felvezetés Infrastruktúra Wireless Network DHCP Server Network Access Server (RRAS és/vagy ISA) Domain Controller VPN kliens IAS Server (RADIUS) Dial-up kliens Fiókiroda szoftveres VPN Fiókiroda hardveres VPN OWA, Outlook kliensek

6 Windows Server 2003 komponensek Amire az RRAS képes
Távoli elérés (dialup / VPN) Site-to-site kapcsolatok (dialup / VPN, DoD) Átjárás az Internet felé (NAT) LAN router (több Ethernet interfész esetén) A fentiek összes kombinációja Teljesítmény? Hardver, összetevők, sávszélesség, stb.

7 Windows Server 2003 komponensek Amire az RRAS képes
Távelérési házirendek Üresjárat, max. munkamenet, időbeli szigorítás, stb. Connection Manager használata (később) RADIUS (IAS) támogatás Hitelesítés és házirendek központilag VPN karantén (csak W2K3) A VPN kliensek rendszabályozásához

8 Windows Server 2003 komponensek RRAS policy

9 Windows Server 2003 komponensek RRAS opciók a címtárban
Statikus IP hozzárendelés Visszahívási opciók Statikus útválasztás A „Caller ID” ellenőrzése Távoli elérés jogosultságai!

10 Poll1

11 Windows Server 2003 komponensek RRAS Firewall
Statikus szűrés + Basic tűzfal Elsősorban a DMZ-ben vagy teljesen „kintre” helyezett RRAS esetén Extrák nélkül (stateful, intrusion detection, stb.) Statikus szűrés (publikus, privát, PPP interfész) Egyszerű stateless (forrás, cél, port, stb.) Védheti az RRAS-t és a belső hálót is Basic tűzfal (VPN és VPN + NAT) Csak az RRAS-on > host firewall

12 Windows Server 2003 komponensek RRAS Firewall

13 Windows Server 2003 komponensek RRAS - parancssorból is
Netsh – mint mindig Netsh ras add authtype add authtype [type = ] PAP|SPAP|MD5CHAP|MSCHAP|MSCHAPv2|EAP Netsh ras add registeredserver Netsh ras add multilink [type = ] MULTI|BACP Netsh ras aaaa set authentication [provider =] WINDOWS|RADIUS Netsh ras dump > “<filename>” Netsh exec “<filename>”

14 Windows Server 2003 komponensek Kis kitérő: RAS + VPN „szerver” a kliensen
W2K, XP, Vista limitált távoli elérés 1 kapcsolat Dial-up, VPN PPTP, L2TP Helyi fiók kell hozzá

15 Windows Server 2003 komponensek VPN – a komplett megoldás
VPN alagút Bújtató protokollok és adatok VPN kliens VPN szerver IP és DNS szerver hozzárendelés DHCP Server Domain Controller Hitelesítés PPP kapcsolat Az „átvivő” hálózat

16 Windows Server 2003 komponensek VPN - protokollok
Közös tulajdonságok Pont-pont, TCP-IP alap, „tunelling” protokollok PPTP (Point-to-Point Tunneling Protocol) MPPE 128-bit RC4 a titkosításra MS-CHAPv2 a jelszó alapú hitelesítésre PKI támogatás is > SmartCard (EAP-TLS) Egyszerűen NAT-olható Egyszerű, gyorsan beüzemelhető, biztonságos

17 Windows Server 2003 komponensek VPN - protokollok
L2TP (Layer Two Tunneling Protocol) Tanúsítvány alapú hitelesítés IPSec ESP transzport mód Kölcsönös hitelesítés: tanúsítvány / pre-shared key (!) Az IPSec pl. 3DES-sel titkosít, egy automatikusan létrejövő filterrel (UDP 1701) PKI infrastruktúra szükséges Azaz lényegesen bonyolultabb a beüzemelése, viszont fokozottan biztonságos NAT-Traversal

18 Windows Server 2003 komponensek Site-to-Site VPN
Kettő vagy több hálózat összekötése Távoli VPN kiszolgáló Szoftver / Hardver PPTP v. L2TP / IPSec v. IPSec Pre-shared key! Címkiosztás és útválasztás IP címtartomány a távoli hálózatnak A forgalom tipikusan a két hálózat között szükséges A „hídfők” egyben VPN routerek is

19 Windows Server 2003 komponensek VPN karantén
Alapesetben egy VPN kliensnek szinten mindent szabad nincs Csoportházirend, központi virusirtó, WSUS, stb. VPN karantén esetén (W2K3 v. ISA) Speciális (CMAK), előre elkészített kliens oldali VPN kapcsolatot használunk RQC.exe + a kapcsolat + a szkript Engedélyezni és konfigurálni kell a szerveren RQS.exe, listener A feltételeink alapján történő kliens oldali vizsgálat eredménye lesz a döntő

20 Windows Server 2003 komponensek VPN karantén
VPN Clients Network Domain Controller Web Server Quarantine script Quarantine remote access policy RQC.exe ISA Server DNS Server File Server VPN Quarantine Clients Network

21 Windows Server 2003 komponensek Connection Manager Administration Kit
Speciális eszköz, amellyel csomagolunk: 1. Előredefiniált VPN kliens beállításokat 2. Kiegészítő eszközöket (opcionálisan) Az előkészítése eredménye egy .exe fájl A kliensen pedig: egy testreszabott VPN kapcsolat

22 Connection Manager Administration Kit
demó

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48 Poll2

49 Windows Server 2003 komponensek Remote Desktop
Helye Ha több kell, mint a webes alkalmazások Ha nem akarunk teljes hálózati elérést (VPN) Remote Desktop Users csoporttagság 128-bit RC4 az alapértelmezett titkosítás RDP 6.0 Vistában alapértelmezett XPSP2-re és W2K03-ra letölthető (WU/MU)

50 Windows Server 2003 komponensek Remote Desktop
RDP és RDP MMC

51 Windows Server 2003 komponensek RDP over SSL (TLS)
Szerver oldal W2K3SP1 + érvényes CA (pl. SelfSSL.exe) Computer CA, Server auth Privát kulcsos változat a TS Personal Store-ban Kliens oldal W2K, XP, W2K3 Legalább RDP 5.2 A tanúsítvány Root CA-ja

52 Windows Server 2003 komponensek Remote Desktop Web Connection
Egyszerűen publikálható és frissíthető alkalmazások a felhasználók felé Alacsony sávszélesség-igény – akár még modemen is tűrhető sebesség Nemcsak Windows platformra Régi hardverek számára is ideális Az RDP over SSL-t nem támogatja

53 Windows Server 2003 komponensek Remote Desktop Web Connection
IIS + RDWC ActiveX control letöltése HTTP (80 / TCP) HTTPS (443 / TCP) web browser TS over RDP (3389 / TCP) Terminal Server

54 RRAS esete az ISA Serverrel Az ISA Server előnyei
Egy helyen, együtt a tűzfallal Stateful inspection VPN kapcsolatokhoz (is) Rendelkezésre álló hálózattípusok VPN Clients \ Q VPN Clients \ Remote Sites Más hálózatokhoz kapcsolódás könnyedén Tűzfal szabályok ugyanúgy használhatóak VPN karantén (W2K Server esetén is) Naplózás, monitorozás korrekt

55 RRAS esete az ISA Serverrel RRAS <> ISA 2004 (Q838374)
Az RRAS előfeltétel az ISA VPN-hez... ...de végül mindig az ISA győz Az ISA felülírja az RRAS beállításokat viszont az ISA MMC-ben néhány opció nincs jelen ezért néha muszáj kiigazítani (pl. szkripttel) Néhány funkció nem működik tovább RRAS csomagszűrés VPN karantén

56 W2K3 üzemeltetés - HTTPS-sel
demó

57

58

59

60

61

62

63 Vista / Longhorn kitekintés Mi várható illetve mi van már?
Network Access Protection Az összes VPN típusra és a RAS kapcsolatokra is IPv4 / IPv6 szintén PEAP + MS-CHAPv2 esetén tanúsítvány sem kell Site-to-Site VPN-re viszont nem alkalmazható IPv6 L2TPv6 (Vista / LH) illetve PPTPv6 (Vista SP1 / LH) CMAK változások Többnyelvűség támogatása, DDNS használata

64 Vista / Longhorn kitekintés Hálózati kapcsolatok varázsló és menü

65 Vista / Longhorn kitekintés Mi várható illetve mi van már?
Protokoll változások - PPTP A 40/56 bit RC4 (PPTP) nincs többé, ergo: PPTP esetén használjuk a 128 bites RC4-et Nem támogatott megoldás: HKLM\System\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto = 1 Protokoll változások – L2TP DES és MD5 nincs többé, de AES 128 / 256 bit, 3DES illetve SHA1 támogatás van Nem támogatott megoldás: HKLM\System\CurrentControlSet\Services\Rasman\Parameters\AllowL2TPWeakCrypto = 1

66 Vista / Longhorn kitekintés Mi várható illetve mi van már?
Hitelesítés változások EAP-MD5, SPAP és az MS-CHAP törölve PAP*, CHAP*, MS-CHAPv2, EAP-MS-CHAPv2, EAP-smartcard/certificate, PEAP-MS-CHAPv2, PEAP-smartcard/certificate Az L2TP/IPSec kliens jobban vizsgálódik... ...a tanúsítványokban (a man-in-the-middle miatt) Secure Socket Tunneling Protocol Újfajta VPN csatornatípus (Vista SP1 + LH Server) „VPN over HTTP” (mindenen át: web proxy / NAT) *nem ajánlott üzemszerűen, csak pl. PPPoE esetén

67 További információ Web RSS Magyar TechNet Portál Minden ami RRAS
Minden ami RRAS RSS RRAS Team Blog 67

68


Letölteni ppt "Távoli elérés és munkavégzés Üzemeltetői szemmel"

Hasonló előadás


Google Hirdetések