Dolgozni már bárhonnan lehet…

Slides:



Advertisements
Hasonló előadás
Partner Connections 2012 Az egységesített veszélykezelés (UTM) Balogh Viktor, műszaki igazgató.
Advertisements

A számítógépes hálózatok és az Internet
Kreitl Péter Gemini-IT Magyarország Kft.
A virtuális munka-környezet
Hitelesítés és tanúsítványkezelés
Készítette: Nagy Márton
GPRS/EDGE General Packet Radio Service/ Enhanced Data rate for GSM Evolution.
Hálózati és Internet ismeretek
Pénz, de honnan?. Office 365 Eszközök 1 milliárd Okostelefon 2016-ra, ebből 350 milliót használnak majd munkára Emberek 82 % A világ online népességének.
Hatékonyságnövelés Office System alapon az E.ON csoportnál
Module 10: Supporting Remote Users távoli felhasználó támogatása.
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Microsoft Forefront biztonsági megoldások
- Virtualizációt az asztalra!
A mobil munka- környezet Réczi Gábor MCSA, MVP, oktató NetAcademia Szentgyörgyi Tibor MCT, oktató Számalk Zrt.
Áttekintés Egyszerű architektúrák Nagyvállalati architektúrák Tervezési útmutató.
E-NAPLÓ Szabó László.
Távoli elérés és munkavégzés Üzemeltetői szemmel
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Új név, új tudás (RDS+VDI+RemoteFX)
Windows Server Hyper-V R2 SP1 újdongságok
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Az ETR technológia DEXTER Informatikai kft..
Az új IP stack Terminal Services Demó Dual layer v4 – v6 közös transport.
Network Access Protection
Üzemeltetői Konferencia V. Harmath Zoltán
SharePoint Adminisztráció
Platform A Vistából örökölt OS alap technológiák Windows Server Core Read-only Domain Controller Hozzáférés szabályzás, erőforrás elérés Network Access.
Remote Desktop Services Van új a nap alatt?
Secure Web Gateway Malware szűrés, HTTP/S szűrés, URL szűrés Firewall Multi-layer inspection, NIS, ISP-R, E-NAT, SIP Remote Access Gateway VPN (PPTP,
Biztonság és távelérés
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
Windows Server 2008 { Terminal Services }
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
„Hagyományos” VPN protokollok PPTP Windows NT és „kortársai” Windows 2000 Windows XP, Windows Server 2003 Windows Vista, Windows Server 2008 L2TP Windows.
Hálózatkezelési újdonságok Windows 7 / R2
„CSOMAGOLT” SZERVEREK „MINDENES” SZERVEREK Kulcsrakész szerverplatform, integrált és optimalizált Az üzlet szolgálatában Ügyviteli és más alkalmazások.
RDS komplett átvilágítás VDI okosságok RemoteApp for Hyper-V.
Szolgáltatás Perem (forgalom) Szerver (tartalom, levelezés) Kliens (végpont) Azonosítás- és hozzáféréskezelés.
Windows Server 2012 R2 Gál Tamás
ISA Server alapok Gál Tamás
Exchange Server 2007 Client Access Role
Ők kerestek meg minket Tentálen – Könyvelő iroda, 15 felhasználó SBS 2003, Outlook levelezés Nincs saját fix ip cím, exchange POP3-al töltötte le a leveleket,
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
4/5/2017 1:42 PM Egységes felhasználói adatkezelés a Forefront Identity Manager segítségével Szirtes István ügyvezető, SCOM MVP, vezető.
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Alkalmazás és megjelenítés virtualizáció Micskei Zoltán.
WS08 R2 üzemeltetői szemmel
Rugalmas, moduláris felépítés Rugalmas telepítés Jól tervezhető szerepkörök Folyamatos rendelkezésre állás Egyszerű felügyelet Elérés bárhonnan Postafiók.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
- RDP RDS szerepkörök - VDI Word.rdp Excel.rdp Virtual Desktop.rdp RD Web Access.
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
Network Access Protection
A felhasználó központú IT Windows Server 2012 R2 konferencia
- S2S VPN - Server Core - DFS-R - BranchCache.
Felhő PC demonstráció Gergely Márk MTA SZTAKI Laboratory of Parallel and Distributed Systems
Üzleti felhőszolgáltatások ÜZLETI ALKALMAZÁSOK ALKALMAZÁSOKCSOPORTMUNKAADATTÁROLÁSPLATFORMFELÜGYELETHATÉKONYSÁG KOMMUNIKÁCIÓ.
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
Alkalmazás- és eszközfelügyelet a felhőből
és más Microsoft oktató anyagok
RPC/MAPI HTTPS IMAP4 POP3 HTTPS IMAP4 POP3 Mailbox Server Mailbox Server Domain Controller Domain Controller Client Access Server Client.
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
Microsoft tananyagok Oktatási anyagok a DVD-n Takács Attila, Jedlik Ányos Gimnázium Budapest.
Irány a felhő Előnyök, tapasztalatok Sárdy Tibor
Számítógép-hálózatok
Felhő alapú vállalati rendszerek
Előadás másolata:

Dolgozni már bárhonnan lehet… 4/3/2017 4:32 AM TechNetKlub – Online Class sorozat Dolgozni már bárhonnan lehet… Gál Tamás tamas.gal@iqjb.hu Informatikai vezető, vezető oktató IQSoft-John Bryce Oktatóközpont © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Tartalom Bonyolultabb elérés NPAS > RRAS > VPN 4/3/2017 4:32 AM Tartalom Bonyolultabb elérés NPAS > RRAS > VPN Egy VPN, ami nem az: DirectAccess Remote Desktop forgatókönyvek Egy prémium megoldás: Forefront UAG Mikor, melyiket? © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Bonyolultabb elérés

NPAS > RRAS > VPN NPAS = Network Policy and Access Server Nagy-nagy szerepkör, több része van NPS (benne: NAP), HRA, HCAP… …és a régi jó RRAS RRAS - Routing and Remote Access Service Szoftveres router NAT szerver Dial-up szerver Virtual Private Network (VPN) szerver Szóló VPN (PPTP, LT2P, SSTP és IKEv2) Site-to-Site VPN (PPTP, L2TP, IPSec)

VPN alapok A lényeg: úgyanúgy elérni minden erőforrást, mint a védett hálózaton, azaz „bent”. A működést tekintve három fő protokoll létezik: Hitelesítési: a kliens ellenőrzése, vagy akár kölcsönösen is Kulcscsere: a titkosító kulcs és más paraméterek egyeztetése Csatornaépítés: a tényleges forgalom átvitele Van, hogy ezek elkülönülnek (pl. PPTP+GRE, vagy IPSec + IKEv1/v2), de léteznek „3 in 1” csomagok: pl. SSTP A hitelesítés kulcsfontosságú Ma biztonságos: MSCHAPv2, PEAP, EAP-MSCHAPv2, EAP-TLS

VPN forgatókönyvek VPN Corporate Headquarters Large Branch Office Small Branch Office VPN Server VPN Server VPN Server Medium Branch Office VPN Home Office with VPN Client VPN Server Remote User with VPN Client

Klasszikus VPN protokollok PPTP Legrégibb és a legegyszerűbb távelérési protokoll A legkevésbé biztonságos is TCP 1723 + IP Protocol 47 (GRE) adatcsatorna L2TP + IPSec Layer 2 protokoll IPSec titkosítás (tanúsítvány vagy pre-shared kulcs) UDP 500 - IKE, UDP 1701, UDP 4500 (NAT-T)

Modern VPN protokollok SSTP Layer 3 VPN tunnel Alagút, mint a PPTP és L2TP/IPSec, de a VPN (PPP) forgalmat HTTPS-be csomagolja > tűzfal/NAT/proxy barát Támogatás: csak Vista SP1-től, régebbi klienseken nincs IKEv2 / VPN Reconnect IPSec titkosítás (AES 256), UDP 500 (IKE), UDP 4500 (NAT-T) Tanúsítvány vagy jelszó alapú hitelesítés EAP-MSCHAP v2, PEAP vagy tanúsítvány (szerver oldalon) MobIKE kiegészítés: gyorsabb és gyorsabban visszaáll > ideális a mobil kliensekhez

Modern VPN protokollok II. VPN Reconnect + MobIKE Windows 7 | Presenter Mode Monday, April 03, 2017 Modern VPN protokollok II. VPN Reconnect + MobIKE A mobil user elhagyja a WLAN hálót és átkerül egy ADSL linkre A VPN Reconnect (IKEv2 VPN) miatt a VPN kapcsolat újra felépül - immár az új közegen keresztül A mobil user a WLAN-on keresztül éri el a céges hálózatot VPN-nel ADSL W7 kliens (mobil user) Új internet kapcsolat IKEv2 kompatibilis VPN kiszolgáló (WS08 R2) VPN Reconnect Tunnel Alkalmazás szerverek Internet WLAN Hotspot Céges hálózat Kapcsolódás a netre A céges hálózat Internet kapcsolata NAP / IPv4 / IPv6 kompatibilis (váltás is) SSTP fall-back Microsoft Confidential

Egy VPN, ami nem az: DirectAccess „A hálózatom nem ott van, ahol az épületünk, hanem ahol a felhasználók és az eszközök.” vs. Iroda Otthon/mobil Iroda Otthon/mobil

DirectAccess jellemzők VPN problémák DirectAccess jellemzők PPTP / L2TP preshared keys - nem _elég_ biztonságos L2TP - nem tűzfalbarát SSL VPN – nem rugalmas „Felhasználóbarátság” Egyik sem az Kliens felügyeleti lehetőségek Minimális illetve eseti Folyamatos, transzparens, IPSec / IPv6 alapú kapcsolat Biztonságos, rugalmas, (akár) teljes hozzáférés a kliensek felé is - bárhonnan Felhasználói oldal: a „megszokott” hozzáférés – bárhonnan A drága VPN infrastuktúra nélkül

DirectAccess Egy teljes rendszer IPv6 eszközök IPv4 eszközök DirectAccess Server Windows 7 kliens Natív IPv6 + IPSec IPv6 / IPv4 átalakítás IPSec titkosítás és hitelesítés Közvetlen kapcsolat a belső IPv6 erőforrásokkal IPv4 támogatás (pl. 6to4, NAT-PT) IT desktop felügyelet Group Policy, NAP, WSUS Internet Lehetővé teszi a DirectAccess kliensek felügyeletét

DA

DirectAccess - technikai részletek Windows Server 2008 R2 + Windows7 Csak tartományba léptetett kliensek IPv6 + IPSec IPv6: 6to4, Teredo, IP-HTTPS IPSec: két tunnel, vagy end-to-end Tanúsítványok (nem kell external) Multifaktoros hitelesítés Split tunneling helyett speciális névfeloldás Name Resolution Policy Table (GP) Network Location Server szerepkör

Remote Desktop forgatókönyvek RD Web Access RD Gateway RD Connection Broker Active Directory Licensing kiszolgáló RD Virtualization Host(s) Remote Desktop kliens RD Session Host(s)

Windows 7 | Presenter Mode Monday, April 03, 2017 RemoteApp + Web Access RD Web Access RD Connection Broker ill. Publishing RD Session Host(s) 1. A WA összeszedi forrásokat 2. A user egy ikon listát lát az IE-ben (akár több RA tartalma plusz a VDI ikonok) RemoteApp Alkalmazás publikálás (Remote App) Miért adjunk távoli asztalt, ha elég egy alkalmazás ablak is? .rdp, .msi fájlokkal vagy Web Access-en keresztül érhető el RD Web Acces Egyszerű, univerzális mód a RemoteApp-ok és az RDP kapcsolatokhoz De az RDWA önállóan nem működik Űrlap alapú hitelesítés (FBA) Single Sign-On RemoteApp esetén, csak (egységes) tanúsítvánnyal, minimum RDP 7.0 Microsoft Confidential

RD WA

Windows 7 | Presenter Mode Monday, April 03, 2017 RD Gateway RD Gateway AD / NAP / NPS 1. A felhasználó HTTPS alapú kapcsolatot kezdeményez 2. RD Gateway feldolgozza a házirende(ke)t RD Virtualization Host(s) RD Session Host 3. Adott esetben (pl. csoporttagság alapján) különböző módon érhetőek el a gépek HTTPS / RDP konverzió Nincs szükség az RDP portra, a VPN-re, stb. Védelem a házirendekkel Connection Authorization Policies / Resource Authorization Policies A TS RA / WA „kisérője” is lehet (remote access portál) NAP, NPS integráció Biztonságos eszközátirányítás Microsoft Confidential

RD GW

Egy prémium megoldás: Forefront UAG Erőforrás elérés DMZ Data Center / Corporate Network Exchange CRM SharePoint IIS alapú IBM, SAP, Oracle Mobil Otthon / máshol HTTPS / HTTP Layer3 VPN TS / RDS, Citrix Internet HTTPS (443) DirectAccess Nem-web, pl. fájlszerver Üzleti partnerek AD, ADFS, RADIUS, LDAP…. NPS, FIM Felügyelt gépek (alkalmazottak)

Mikor, melyiket? VPN – ha teljes elérés kell Feltétel: PKI infrastruktúra, kliens konfigurálás is Előnyök: szerver oldal egyszerűbb, ismertebb, klasszikus Hátrányok: nem felhasználóbarát, kliens oldal bonyolultabb, ami egyszerű az nem biztonságos, és nem állandó kapcsolat DirectAccess - ha teljes elérés kell Feltétel: domain tagság (kliens oldalon), PKI és IP infrastruktúra, IPv6 tranzíció Előnyök: állandó, és transzparens kapcsolat, biztonságos és rugalmas elérés, nincs kliens konfigurálás Hátrányok: nagyvállalati kategória, szerver oldal bonyolult, magas rendelkezésre állást önmagában nem nyújt

Mikor, melyiket? Remote Desktop * - ha az alkalmazások/gépek elérése kell Feltétel: megfelelő publikálás, PKI infrastruktúra, megfelelő hardver Előnyök: integrált, skálázható, virtualizációval összeköthető, akár magas rendelkezésre állás is Hátrányok: korlátozott alkalmazás és platform keret, licence igény Forefront UAG - ha az alkalmazások/gépek elérése kell Feltétel: kliens oldali bővítmény(ek), PKI infrastruktúra, megfelelő hardver Előnyök: széleskörű mindent igényt lefedő, prémium kategória, magas rendelkezésre állás, komoly DirectAccess integráció Hátrányok: maximálisan nagyvállalati kategória, bonyolult, drága

4/3/2017 4:32 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.