Dolgozni már bárhonnan lehet… 4/3/2017 4:32 AM TechNetKlub – Online Class sorozat Dolgozni már bárhonnan lehet… Gál Tamás tamas.gal@iqjb.hu Informatikai vezető, vezető oktató IQSoft-John Bryce Oktatóközpont © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Tartalom Bonyolultabb elérés NPAS > RRAS > VPN 4/3/2017 4:32 AM Tartalom Bonyolultabb elérés NPAS > RRAS > VPN Egy VPN, ami nem az: DirectAccess Remote Desktop forgatókönyvek Egy prémium megoldás: Forefront UAG Mikor, melyiket? © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Bonyolultabb elérés
NPAS > RRAS > VPN NPAS = Network Policy and Access Server Nagy-nagy szerepkör, több része van NPS (benne: NAP), HRA, HCAP… …és a régi jó RRAS RRAS - Routing and Remote Access Service Szoftveres router NAT szerver Dial-up szerver Virtual Private Network (VPN) szerver Szóló VPN (PPTP, LT2P, SSTP és IKEv2) Site-to-Site VPN (PPTP, L2TP, IPSec)
VPN alapok A lényeg: úgyanúgy elérni minden erőforrást, mint a védett hálózaton, azaz „bent”. A működést tekintve három fő protokoll létezik: Hitelesítési: a kliens ellenőrzése, vagy akár kölcsönösen is Kulcscsere: a titkosító kulcs és más paraméterek egyeztetése Csatornaépítés: a tényleges forgalom átvitele Van, hogy ezek elkülönülnek (pl. PPTP+GRE, vagy IPSec + IKEv1/v2), de léteznek „3 in 1” csomagok: pl. SSTP A hitelesítés kulcsfontosságú Ma biztonságos: MSCHAPv2, PEAP, EAP-MSCHAPv2, EAP-TLS
VPN forgatókönyvek VPN Corporate Headquarters Large Branch Office Small Branch Office VPN Server VPN Server VPN Server Medium Branch Office VPN Home Office with VPN Client VPN Server Remote User with VPN Client
Klasszikus VPN protokollok PPTP Legrégibb és a legegyszerűbb távelérési protokoll A legkevésbé biztonságos is TCP 1723 + IP Protocol 47 (GRE) adatcsatorna L2TP + IPSec Layer 2 protokoll IPSec titkosítás (tanúsítvány vagy pre-shared kulcs) UDP 500 - IKE, UDP 1701, UDP 4500 (NAT-T)
Modern VPN protokollok SSTP Layer 3 VPN tunnel Alagút, mint a PPTP és L2TP/IPSec, de a VPN (PPP) forgalmat HTTPS-be csomagolja > tűzfal/NAT/proxy barát Támogatás: csak Vista SP1-től, régebbi klienseken nincs IKEv2 / VPN Reconnect IPSec titkosítás (AES 256), UDP 500 (IKE), UDP 4500 (NAT-T) Tanúsítvány vagy jelszó alapú hitelesítés EAP-MSCHAP v2, PEAP vagy tanúsítvány (szerver oldalon) MobIKE kiegészítés: gyorsabb és gyorsabban visszaáll > ideális a mobil kliensekhez
Modern VPN protokollok II. VPN Reconnect + MobIKE Windows 7 | Presenter Mode Monday, April 03, 2017 Modern VPN protokollok II. VPN Reconnect + MobIKE A mobil user elhagyja a WLAN hálót és átkerül egy ADSL linkre A VPN Reconnect (IKEv2 VPN) miatt a VPN kapcsolat újra felépül - immár az új közegen keresztül A mobil user a WLAN-on keresztül éri el a céges hálózatot VPN-nel ADSL W7 kliens (mobil user) Új internet kapcsolat IKEv2 kompatibilis VPN kiszolgáló (WS08 R2) VPN Reconnect Tunnel Alkalmazás szerverek Internet WLAN Hotspot Céges hálózat Kapcsolódás a netre A céges hálózat Internet kapcsolata NAP / IPv4 / IPv6 kompatibilis (váltás is) SSTP fall-back Microsoft Confidential
Egy VPN, ami nem az: DirectAccess „A hálózatom nem ott van, ahol az épületünk, hanem ahol a felhasználók és az eszközök.” vs. Iroda Otthon/mobil Iroda Otthon/mobil
DirectAccess jellemzők VPN problémák DirectAccess jellemzők PPTP / L2TP preshared keys - nem _elég_ biztonságos L2TP - nem tűzfalbarát SSL VPN – nem rugalmas „Felhasználóbarátság” Egyik sem az Kliens felügyeleti lehetőségek Minimális illetve eseti Folyamatos, transzparens, IPSec / IPv6 alapú kapcsolat Biztonságos, rugalmas, (akár) teljes hozzáférés a kliensek felé is - bárhonnan Felhasználói oldal: a „megszokott” hozzáférés – bárhonnan A drága VPN infrastuktúra nélkül
DirectAccess Egy teljes rendszer IPv6 eszközök IPv4 eszközök DirectAccess Server Windows 7 kliens Natív IPv6 + IPSec IPv6 / IPv4 átalakítás IPSec titkosítás és hitelesítés Közvetlen kapcsolat a belső IPv6 erőforrásokkal IPv4 támogatás (pl. 6to4, NAT-PT) IT desktop felügyelet Group Policy, NAP, WSUS Internet Lehetővé teszi a DirectAccess kliensek felügyeletét
DA
DirectAccess - technikai részletek Windows Server 2008 R2 + Windows7 Csak tartományba léptetett kliensek IPv6 + IPSec IPv6: 6to4, Teredo, IP-HTTPS IPSec: két tunnel, vagy end-to-end Tanúsítványok (nem kell external) Multifaktoros hitelesítés Split tunneling helyett speciális névfeloldás Name Resolution Policy Table (GP) Network Location Server szerepkör
Remote Desktop forgatókönyvek RD Web Access RD Gateway RD Connection Broker Active Directory Licensing kiszolgáló RD Virtualization Host(s) Remote Desktop kliens RD Session Host(s)
Windows 7 | Presenter Mode Monday, April 03, 2017 RemoteApp + Web Access RD Web Access RD Connection Broker ill. Publishing RD Session Host(s) 1. A WA összeszedi forrásokat 2. A user egy ikon listát lát az IE-ben (akár több RA tartalma plusz a VDI ikonok) RemoteApp Alkalmazás publikálás (Remote App) Miért adjunk távoli asztalt, ha elég egy alkalmazás ablak is? .rdp, .msi fájlokkal vagy Web Access-en keresztül érhető el RD Web Acces Egyszerű, univerzális mód a RemoteApp-ok és az RDP kapcsolatokhoz De az RDWA önállóan nem működik Űrlap alapú hitelesítés (FBA) Single Sign-On RemoteApp esetén, csak (egységes) tanúsítvánnyal, minimum RDP 7.0 Microsoft Confidential
RD WA
Windows 7 | Presenter Mode Monday, April 03, 2017 RD Gateway RD Gateway AD / NAP / NPS 1. A felhasználó HTTPS alapú kapcsolatot kezdeményez 2. RD Gateway feldolgozza a házirende(ke)t RD Virtualization Host(s) RD Session Host 3. Adott esetben (pl. csoporttagság alapján) különböző módon érhetőek el a gépek HTTPS / RDP konverzió Nincs szükség az RDP portra, a VPN-re, stb. Védelem a házirendekkel Connection Authorization Policies / Resource Authorization Policies A TS RA / WA „kisérője” is lehet (remote access portál) NAP, NPS integráció Biztonságos eszközátirányítás Microsoft Confidential
RD GW
Egy prémium megoldás: Forefront UAG Erőforrás elérés DMZ Data Center / Corporate Network Exchange CRM SharePoint IIS alapú IBM, SAP, Oracle Mobil Otthon / máshol HTTPS / HTTP Layer3 VPN TS / RDS, Citrix Internet HTTPS (443) DirectAccess Nem-web, pl. fájlszerver Üzleti partnerek AD, ADFS, RADIUS, LDAP…. NPS, FIM Felügyelt gépek (alkalmazottak)
Mikor, melyiket? VPN – ha teljes elérés kell Feltétel: PKI infrastruktúra, kliens konfigurálás is Előnyök: szerver oldal egyszerűbb, ismertebb, klasszikus Hátrányok: nem felhasználóbarát, kliens oldal bonyolultabb, ami egyszerű az nem biztonságos, és nem állandó kapcsolat DirectAccess - ha teljes elérés kell Feltétel: domain tagság (kliens oldalon), PKI és IP infrastruktúra, IPv6 tranzíció Előnyök: állandó, és transzparens kapcsolat, biztonságos és rugalmas elérés, nincs kliens konfigurálás Hátrányok: nagyvállalati kategória, szerver oldal bonyolult, magas rendelkezésre állást önmagában nem nyújt
Mikor, melyiket? Remote Desktop * - ha az alkalmazások/gépek elérése kell Feltétel: megfelelő publikálás, PKI infrastruktúra, megfelelő hardver Előnyök: integrált, skálázható, virtualizációval összeköthető, akár magas rendelkezésre állás is Hátrányok: korlátozott alkalmazás és platform keret, licence igény Forefront UAG - ha az alkalmazások/gépek elérése kell Feltétel: kliens oldali bővítmény(ek), PKI infrastruktúra, megfelelő hardver Előnyök: széleskörű mindent igényt lefedő, prémium kategória, magas rendelkezésre állás, komoly DirectAccess integráció Hátrányok: maximálisan nagyvállalati kategória, bonyolult, drága
4/3/2017 4:32 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.