Távoli elérés és munkavégzés Üzemeltetői szemmel Gál Tamás gtamas@tjszki.hu MCSE, MCSA, MCT, MVP
Tartalom Felvezetés Windows Server 2003 komponensek RRAS, VPN, CMAK, RDP Az RRAS esete az ISA Serverrel W2K3 üzemeltetés HTTPS-sel Vista / Longhorn kitekintés ISA 2006 spéci publikálások > 2007.01.17.
Felvezetés A probléma Még több elérés kell Viszont... Távmunkások, mobil felhasználók (otthonról, hotelekből, stb.) „Drót nélkül” bárhonnan (hotspot-ok, repterek, stb.) Dolgozók +: partnerek, beszállítók, vevők, stb. Viszont... A távoli elérés sosem biztonságos Nincs felügyelet és központi kezelés Nincs GP, WSUS, központi AV, szoftvertelepítés, stb.
Felvezetés A probléma Elérés <> biztonság dilemma Ami szinte biztosan kell 1. A belső webes alkalmazások külső elérése Webszerverek, SPS, Exhange komponensek 2. A desktop elérése (RDP) 3. VPN Szimpla, Site-to-Site Mikor, melyik? Kinek, melyik?
Felvezetés Infrastruktúra ActiveSync Outlook Mobile Access XHTML, cHTML, HTML Felvezetés Infrastruktúra Wireless Network DHCP Server Network Access Server (RRAS és/vagy ISA) Domain Controller VPN kliens IAS Server (RADIUS) Dial-up kliens Fiókiroda szoftveres VPN Fiókiroda hardveres VPN OWA, Outlook kliensek
Windows Server 2003 komponensek Amire az RRAS képes Távoli elérés (dialup / VPN) Site-to-site kapcsolatok (dialup / VPN, DoD) Átjárás az Internet felé (NAT) LAN router (több Ethernet interfész esetén) A fentiek összes kombinációja Teljesítmény? Hardver, összetevők, sávszélesség, stb. http://tinyurl.com/ymmkmd
Windows Server 2003 komponensek Amire az RRAS képes Távelérési házirendek Üresjárat, max. munkamenet, időbeli szigorítás, stb. Connection Manager használata (később) RADIUS (IAS) támogatás Hitelesítés és házirendek központilag VPN karantén (csak W2K3) A VPN kliensek rendszabályozásához
Windows Server 2003 komponensek RRAS policy
Windows Server 2003 komponensek RRAS opciók a címtárban Statikus IP hozzárendelés Visszahívási opciók Statikus útválasztás A „Caller ID” ellenőrzése Távoli elérés jogosultságai!
Poll1
Windows Server 2003 komponensek RRAS Firewall Statikus szűrés + Basic tűzfal Elsősorban a DMZ-ben vagy teljesen „kintre” helyezett RRAS esetén Extrák nélkül (stateful, intrusion detection, stb.) Statikus szűrés (publikus, privát, PPP interfész) Egyszerű stateless (forrás, cél, port, stb.) Védheti az RRAS-t és a belső hálót is Basic tűzfal (VPN és VPN + NAT) Csak az RRAS-on > host firewall
Windows Server 2003 komponensek RRAS Firewall
Windows Server 2003 komponensek RRAS - parancssorból is Netsh – mint mindig Netsh ras add authtype add authtype [type = ] PAP|SPAP|MD5CHAP|MSCHAP|MSCHAPv2|EAP Netsh ras add registeredserver Netsh ras add multilink [type = ] MULTI|BACP Netsh ras aaaa set authentication [provider =] WINDOWS|RADIUS Netsh ras dump > “<filename>” Netsh exec “<filename>”
Windows Server 2003 komponensek Kis kitérő: RAS + VPN „szerver” a kliensen W2K, XP, Vista limitált távoli elérés 1 kapcsolat Dial-up, VPN PPTP, L2TP Helyi fiók kell hozzá
Windows Server 2003 komponensek VPN – a komplett megoldás VPN alagút Bújtató protokollok és adatok VPN kliens VPN szerver IP és DNS szerver hozzárendelés DHCP Server Domain Controller Hitelesítés PPP kapcsolat Az „átvivő” hálózat
Windows Server 2003 komponensek VPN - protokollok Közös tulajdonságok Pont-pont, TCP-IP alap, „tunelling” protokollok PPTP (Point-to-Point Tunneling Protocol) MPPE 128-bit RC4 a titkosításra MS-CHAPv2 a jelszó alapú hitelesítésre PKI támogatás is > SmartCard (EAP-TLS) Egyszerűen NAT-olható Egyszerű, gyorsan beüzemelhető, biztonságos
Windows Server 2003 komponensek VPN - protokollok L2TP (Layer Two Tunneling Protocol) Tanúsítvány alapú hitelesítés IPSec ESP transzport mód Kölcsönös hitelesítés: tanúsítvány / pre-shared key (!) Az IPSec pl. 3DES-sel titkosít, egy automatikusan létrejövő filterrel (UDP 1701) PKI infrastruktúra szükséges Azaz lényegesen bonyolultabb a beüzemelése, viszont fokozottan biztonságos NAT-Traversal
Windows Server 2003 komponensek Site-to-Site VPN Kettő vagy több hálózat összekötése Távoli VPN kiszolgáló Szoftver / Hardver PPTP v. L2TP / IPSec v. IPSec Pre-shared key! Címkiosztás és útválasztás IP címtartomány a távoli hálózatnak A forgalom tipikusan a két hálózat között szükséges A „hídfők” egyben VPN routerek is
Windows Server 2003 komponensek VPN karantén Alapesetben egy VPN kliensnek szinten mindent szabad nincs Csoportházirend, központi virusirtó, WSUS, stb. VPN karantén esetén (W2K3 v. ISA) Speciális (CMAK), előre elkészített kliens oldali VPN kapcsolatot használunk RQC.exe + a kapcsolat + a szkript Engedélyezni és konfigurálni kell a szerveren RQS.exe, listener A feltételeink alapján történő kliens oldali vizsgálat eredménye lesz a döntő
Windows Server 2003 komponensek VPN karantén VPN Clients Network Domain Controller Web Server Quarantine script Quarantine remote access policy RQC.exe ISA Server DNS Server File Server VPN Quarantine Clients Network
Windows Server 2003 komponensek Connection Manager Administration Kit Speciális eszköz, amellyel csomagolunk: 1. Előredefiniált VPN kliens beállításokat 2. Kiegészítő eszközöket (opcionálisan) Az előkészítése eredménye egy .exe fájl A kliensen pedig: egy testreszabott VPN kapcsolat
Connection Manager Administration Kit demó
Poll2
Windows Server 2003 komponensek Remote Desktop Helye Ha több kell, mint a webes alkalmazások Ha nem akarunk teljes hálózati elérést (VPN) Remote Desktop Users csoporttagság 128-bit RC4 az alapértelmezett titkosítás RDP 6.0 Vistában alapértelmezett XPSP2-re és W2K03-ra letölthető (WU/MU)
Windows Server 2003 komponensek Remote Desktop RDP és RDP MMC
Windows Server 2003 komponensek RDP over SSL (TLS) Szerver oldal W2K3SP1 + érvényes CA (pl. SelfSSL.exe) Computer CA, Server auth Privát kulcsos változat a TS Personal Store-ban Kliens oldal W2K, XP, W2K3 Legalább RDP 5.2 A tanúsítvány Root CA-ja
Windows Server 2003 komponensek Remote Desktop Web Connection Egyszerűen publikálható és frissíthető alkalmazások a felhasználók felé Alacsony sávszélesség-igény – akár még modemen is tűrhető sebesség Nemcsak Windows platformra Régi hardverek számára is ideális Az RDP over SSL-t nem támogatja
Windows Server 2003 komponensek Remote Desktop Web Connection http://server/tsweb IIS + RDWC ActiveX control letöltése HTTP (80 / TCP) HTTPS (443 / TCP) web browser TS over RDP (3389 / TCP) Terminal Server
RRAS esete az ISA Serverrel Az ISA Server előnyei Egy helyen, együtt a tűzfallal Stateful inspection VPN kapcsolatokhoz (is) Rendelkezésre álló hálózattípusok VPN Clients \ Q VPN Clients \ Remote Sites Más hálózatokhoz kapcsolódás könnyedén Tűzfal szabályok ugyanúgy használhatóak VPN karantén (W2K Server esetén is) Naplózás, monitorozás korrekt
RRAS esete az ISA Serverrel RRAS <> ISA 2004 (Q838374) Az RRAS előfeltétel az ISA VPN-hez... ...de végül mindig az ISA győz Az ISA felülírja az RRAS beállításokat viszont az ISA MMC-ben néhány opció nincs jelen ezért néha muszáj kiigazítani (pl. szkripttel) Néhány funkció nem működik tovább RRAS csomagszűrés VPN karantén
W2K3 üzemeltetés - HTTPS-sel demó
https://server:8098
Vista / Longhorn kitekintés Mi várható illetve mi van már? Network Access Protection Az összes VPN típusra és a RAS kapcsolatokra is IPv4 / IPv6 szintén PEAP + MS-CHAPv2 esetén tanúsítvány sem kell Site-to-Site VPN-re viszont nem alkalmazható IPv6 L2TPv6 (Vista / LH) illetve PPTPv6 (Vista SP1 / LH) CMAK változások Többnyelvűség támogatása, DDNS használata
Vista / Longhorn kitekintés Hálózati kapcsolatok varázsló és menü
Vista / Longhorn kitekintés Mi várható illetve mi van már? Protokoll változások - PPTP A 40/56 bit RC4 (PPTP) nincs többé, ergo: PPTP esetén használjuk a 128 bites RC4-et Nem támogatott megoldás: HKLM\System\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto = 1 Protokoll változások – L2TP DES és MD5 nincs többé, de AES 128 / 256 bit, 3DES illetve SHA1 támogatás van Nem támogatott megoldás: HKLM\System\CurrentControlSet\Services\Rasman\Parameters\AllowL2TPWeakCrypto = 1
Vista / Longhorn kitekintés Mi várható illetve mi van már? Hitelesítés változások EAP-MD5, SPAP és az MS-CHAP törölve PAP*, CHAP*, MS-CHAPv2, EAP-MS-CHAPv2, EAP-smartcard/certificate, PEAP-MS-CHAPv2, PEAP-smartcard/certificate Az L2TP/IPSec kliens jobban vizsgálódik... ...a tanúsítványokban (a man-in-the-middle miatt) Secure Socket Tunneling Protocol Újfajta VPN csatornatípus (Vista SP1 + LH Server) „VPN over HTTP” (mindenen át: web proxy / NAT) *nem ajánlott üzemszerűen, csak pl. PPPoE esetén
További információ Web RSS Magyar TechNet Portál Minden ami RRAS http://www.microsoft.hu/technet Minden ami RRAS http://www.microsoft.com/technet/network/rras/default.mspx RSS RRAS Team Blog http://blogs.technet.com/rrasblog/default.aspx 67