Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Távoli elérés és munkavégzés Üzemeltetői szemmel Gál Tamás MCSE, MCSA, MCT, MVP.

Hasonló előadás


Az előadások a következő témára: "Távoli elérés és munkavégzés Üzemeltetői szemmel Gál Tamás MCSE, MCSA, MCT, MVP."— Előadás másolata:

1 Távoli elérés és munkavégzés Üzemeltetői szemmel Gál Tamás MCSE, MCSA, MCT, MVP

2 Tartalom   Felvezetés   Windows Server 2003 komponensek   RRAS, VPN, CMAK, RDP   Az RRAS esete az ISA Serverrel   W2K3 üzemeltetés HTTPS-sel   Vista / Longhorn kitekintés   ISA 2006 spéci publikálások >

3  Még több elérés kell  Távmunkások, mobil felhasználók (otthonról, hotelekből, stb.)  „Drót nélkül” bárhonnan (hotspot-ok, repterek, stb.)  Dolgozók +: partnerek, beszállítók, vevők, stb.  Viszont...  A távoli elérés sosem biztonságos  Nincs felügyelet és központi kezelés  Nincs GP, WSUS, központi AV, szoftvertelepítés, stb. Felvezetés A probléma

4  Elérés <> biztonság dilemma  Ami szinte biztosan kell 1. A belső webes alkalmazások külső elérése  Webszerverek, SPS, Exhange komponensek 2. A desktop elérése (RDP) 3. VPN  Szimpla, Site-to-Site  Mikor, melyik? Kinek, melyik? Felvezetés A probléma

5 Network Access Server (RRAS és/vagy ISA) IAS Server (RADIUS) DHCP Server Domain Controller Dial-up kliens VPN kliens Felvezetés Infrastruktúra Fiókiroda hardveres VPN OWA, Outlook kliensek Outlook Mobile Access XHTML, cHTML, HTML ActiveSync Wireless Network Fiókiroda szoftveres VPN

6 Windows Server 2003 komponensek Amire az RRAS képes   Távoli elérés (dialup / VPN)   Site-to-site kapcsolatok (dialup / VPN, DoD)   Átjárás az Internet felé (NAT)   LAN router (több Ethernet interfész esetén)   A fentiek összes kombinációja   Teljesítmény?   Hardver, összetevők, sávszélesség, stb.  

7 Windows Server 2003 komponensek Amire az RRAS képes   Távelérési házirendek   Üresjárat, max. munkamenet, időbeli szigorítás, stb.   Connection Manager használata (később)   RADIUS (IAS) támogatás   Hitelesítés és házirendek központilag   VPN karantén (csak W2K3)   A VPN kliensek rendszabályozásához

8 Windows Server 2003 komponensek RRAS policy

9 Visszahívási opciók Statikus útválasztás A „Caller ID” ellenőrzése Távoli elérés jogosultságai ! Statikus IP hozzárendelés Windows Server 2003 komponensek RRAS opciók a címtárban

10 Poll1

11 Windows Server 2003 komponensek RRAS Firewall   Statikus szűrés + Basic tűzfal   Elsősorban a DMZ-ben vagy teljesen „kintre” helyezett RRAS esetén   Extrák nélkül (stateful, intrusion detection, stb.)   Statikus szűrés (publikus, privát, PPP interfész)   Egyszerű stateless (forrás, cél, port, stb.)   Védheti az RRAS-t és a belső hálót is   Basic tűzfal (VPN és VPN + NAT)   Csak az RRAS-on > host firewall

12 Windows Server 2003 komponensek RRAS Firewall

13 Windows Server 2003 komponensek RRAS - parancssorból is   Netsh – mint mindig   Netsh ras add authtype add authtype [type = ] PAP|SPAP|MD5CHAP|MSCHAP|MSCHAPv2|EAP   Netsh ras add registeredserver   Netsh ras add multilink [type = ] MULTI|BACP   Netsh ras aaaa set authentication [provider =] WINDOWS|RADIUS   Netsh ras dump > “ ”   Netsh exec “ ”

14 Windows Server 2003 komponensek Kis kitérő: RAS + VPN „szerver” a kliensen   W2K, XP, Vista   limitált távoli elérés   1 kapcsolat   Dial-up, VPN   PPTP, L2TP   Helyi fiók kell hozzá

15 VPN alagút Bújtató protokollok és adatok VPN alagút Bújtató protokollok és adatok VPN kliens VPN szerver IP és DNS szerver hozzárendelés DHCP Server Domain Controller Hitelesítés PPP kapcsolat Az „átvivő” hálózat Windows Server 2003 komponensek VPN – a komplett megoldás

16  Közös tulajdonságok  Pont-pont, TCP-IP alap, „tunelling” protokollok  PPTP (Point-to-Point Tunneling Protocol)  MPPE 128-bit RC4 a titkosításra  MS-CHAPv2 a jelszó alapú hitelesítésre  PKI támogatás is > SmartCard (EAP-TLS)  Egyszerűen NAT-olható  Egyszerű, gyorsan beüzemelhető, biztonságos Windows Server 2003 komponensek VPN - protokollok

17  L2TP (Layer Two Tunneling Protocol)  Tanúsítvány alapú hitelesítés  IPSec ESP transzport mód  Kölcsönös hitelesítés: tanúsítvány / pre-shared key (!)  Az IPSec pl. 3DES-sel titkosít, egy automatikusan létrejövő filterrel (UDP 1701)  PKI infrastruktúra szükséges  Azaz lényegesen bonyolultabb a beüzemelése, viszont fokozottan biztonságos  NAT-Traversal Windows Server 2003 komponensek VPN - protokollok

18 Windows Server 2003 komponensek Site-to-Site VPN  Kettő vagy több hálózat összekötése  Távoli VPN kiszolgáló  Szoftver / Hardver  PPTP v. L2TP / IPSec v. IPSec  Pre-shared key!  Címkiosztás és útválasztás  IP címtartomány a távoli hálózatnak  A forgalom tipikusan a két hálózat között szükséges  A „hídfők” egyben VPN routerek is

19  Alapesetben egy VPN kliensnek szinten mindent szabad  nincs Csoportházirend, központi virusirtó, WSUS, stb.  VPN karantén esetén (W2K3 v. ISA)  Speciális (CMAK), előre elkészített kliens oldali VPN kapcsolatot használunk  RQC.exe + a kapcsolat + a szkript  Engedélyezni és konfigurálni kell a szerveren  RQS.exe, listener  A feltételeink alapján történő kliens oldali vizsgálat eredménye lesz a döntő Windows Server 2003 komponensek VPN karantén

20 ISA Server DNS Server Web Server Domain Controller File Server Quarantine script VPN Quarantine Clients Network VPN Clients Network RQC.exe Quarantine remote access policy Windows Server 2003 komponensek VPN karantén

21 Windows Server 2003 komponensek Connection Manager Administration Kit  Speciális eszköz, amellyel csomagolunk: 1. Előredefiniált VPN kliens beállításokat 2. Kiegészítő eszközöket (opcionálisan)  Az előkészítése eredménye egy.exe fájl  A kliensen pedig: egy testreszabott VPN kapcsolat

22 demó Connection Manager Administration Kit

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48 Poll2

49 Windows Server 2003 komponensek Remote Desktop  Helye  Ha több kell, mint a webes alkalmazások  Ha nem akarunk teljes hálózati elérést (VPN)  Remote Desktop Users csoporttagság  128-bit RC4 az alapértelmezett titkosítás  RDP 6.0  Vistában alapértelmezett  XPSP2-re és W2K03-ra letölthető (WU/MU)

50 Windows Server 2003 komponensek Remote Desktop  RDP és RDP MMC

51 Windows Server 2003 komponensek RDP over SSL (TLS)  Szerver oldal  W2K3SP1 + érvényes CA (pl. SelfSSL.exe)  Computer CA, Server auth  Privát kulcsos változat a TS Personal Store-ban  Kliens oldal  W2K, XP, W2K3  Legalább RDP 5.2  A tanúsítvány Root CA-ja

52 Windows Server 2003 komponensek Remote Desktop Web Connection  Egyszerűen publikálható és frissíthető alkalmazások a felhasználók felé  Alacsony sávszélesség-igény – akár még modemen is tűrhető sebesség  Nemcsak Windows platformra  Régi hardverek számára is ideális  Az RDP over SSL-t nem támogatja

53 web browser IIS + RDWC Terminal Server ActiveX control letöltése HTTP (80 / TCP) HTTPS (443 / TCP) TS over RDP (3389 / TCP) Windows Server 2003 komponensek Remote Desktop Web Connection

54 Az ISA Server előnyei RRAS esete az ISA Serverrel Az ISA Server előnyei   Egy helyen, együtt a tűzfallal   Stateful inspection VPN kapcsolatokhoz (is)   Rendelkezésre álló hálózattípusok   VPN Clients \ Q VPN Clients \ Remote Sites   Más hálózatokhoz kapcsolódás könnyedén   Tűzfal szabályok ugyanúgy használhatóak   VPN karantén (W2K Server esetén is)   Naplózás, monitorozás korrekt

55 RRAS <> ISA 2004 (Q838374) RRAS esete az ISA Serverrel RRAS <> ISA 2004 (Q838374)   Az RRAS előfeltétel az ISA VPN-hez...  ...de végül mindig az ISA győz   Az ISA felülírja az RRAS beállításokat   viszont az ISA MMC-ben néhány opció nincs jelen   ezért néha muszáj kiigazítani (pl. szkripttel)   Néhány funkció nem működik tovább   RRAS csomagszűrés   VPN karantén

56 demó W2K3 üzemeltetés - HTTPS-sel

57 https://server:8098

58

59

60

61

62

63 Vista / Longhorn kitekintés Mi várható illetve mi van már?  Network Access Protection  Az összes VPN típusra és a RAS kapcsolatokra is  IPv4 / IPv6 szintén  PEAP + MS-CHAPv2 esetén tanúsítvány sem kell  Site-to-Site VPN-re viszont nem alkalmazható  IPv6  L2TPv6 (Vista / LH) illetve PPTPv6 (Vista SP1 / LH)  CMAK változások  Többnyelvűség támogatása, DDNS használata

64 Vista / Longhorn kitekintés Hálózati kapcsolatok varázsló és menü

65 Vista / Longhorn kitekintés Mi várható illetve mi van már?  Protokoll változások - PPTP  A 40/56 bit RC4 (PPTP) nincs többé, ergo:  PPTP esetén használjuk a 128 bites RC4-et  Nem támogatott megoldás: HKLM\System\CurrentControlSet\Services\Rasman\Para meters\AllowPPTPWeakCrypto = 1  Protokoll változások – L2TP  DES és MD5 nincs többé, de AES 128 / 256 bit, 3DES illetve SHA1 támogatás van  Nem támogatott megoldás: HKLM\System\CurrentControlSet\Services\Rasman\Para meters\AllowL2TPWeakCrypto = 1

66 Vista / Longhorn kitekintés Mi várható illetve mi van már?  Hitelesítés változások  EAP-MD5, SPAP és az MS-CHAP törölve  PAP*, CHAP*, MS-CHAPv2, EAP-MS-CHAPv2, EAP-smartcard/certificate, PEAP-MS-CHAPv2, PEAP-smartcard/certificate  Az L2TP/IPSec kliens jobban vizsgálódik... ...a tanúsítványokban (a man-in-the-middle miatt)  Secure Socket Tunneling Protocol  Újfajta VPN csatornatípus (Vista SP1 + LH Server)  „VPN over HTTP” (mindenen át: web proxy / NAT) *nem ajánlott üzemszerűen, csak pl. PPPoE esetén

67 További információ   Web   Magyar TechNet Portál     Minden ami RRAS   px   RSS   RRAS Team Blog  

68


Letölteni ppt "Távoli elérés és munkavégzés Üzemeltetői szemmel Gál Tamás MCSE, MCSA, MCT, MVP."

Hasonló előadás


Google Hirdetések