Windows Server 2008 Távoli elérés – I. Szentgyörgyi Tibor EBS MVP Techtutor Informatikai szaktanácsadó közösség Tibor@halasztelek.hu

Miről lesz szó? Távelérési protokollok NPAS bemutatása RRAS képességek PPTP L2TP SSTP IKEv2 DirectAccess

Távelérési protokollok RRAS képességek Távelérési protokollok

NPAS - Network Policy and Access Service Windows Server szerepkör RRAS - Routing and Remote Access Service PPTP, LT2P, SSTP és IKEv2 VPN Site-to-Site VPN – erről majd a pénteki előadáson NPS – Network Policy Server RADIUS server és proxy Vezeték nélküli 802.1x hitelesítés Vezetékes hitelesítés

RRAS Feladata: VPN és dial-up távelérés multiprotocol LAN-to-LAN, LAN-to-WAN, NAT, route Site-to-Site VPN Újdonságok: Secure Socket Tunneling Protocol (SSTP) R2: IKEv2 – VPN reconnect Teljes körű IPv6 támogatás

Klasszikus VPN protokollok PPTP Legegyszerűbb távelérési protokoll TCP 1723 vezérlőcsatorna IP Protocol ID 47 (GRE) adatcsatorna L2TP Layer 2 protokoll IPSec titkosítás (tanúsítvány vagy Pre-shared) UDP 500 - IKE, UDP 1701, UDP 4500 (NAT-T)

Modern VPN protokollok IKEv2 IPSec titkosítás (AES 256) Tanúsítvány vagy jelszó alapú hitelesítés EAP-MSCHAP v2, PEAP vagy cert VPN Reconnect UDP 500 (IKE), UDP 4500 (NAT-T) SSTP TCP 443

VPN hitelesítési protokollok PAP A „leggyengébb” megoldás > plaintext jelszó > viszont kompatibilis SPAP Jelszó: visszafejthető titkosítás, csak speciális (Shiva) hardver esetén CHAP Kihívás-válasz típusú, jelszó: visszafejthető titkosítás Macintosh / UNIX kompatibilitás Adattitkosítás nincs itt sem MS-CHAP Nem szükséges hozzá a jelszavakat visszafejthetően tárolni Adattitkosítás van (MPPE) Régi klienseknél és csak akkor használjuk, ha jobbat nem lehet MS-CHAPv2 Javítja az MS-CHAP esetlenségeit Kölcsönös hitelesítés Az adattitkosítás kulcsai szeparáltan közlekednek az adatforgalomtól Ezek a kulcsok nem függnek a jelszavak gyengeségétől EAP-TLS A legbiztonságosabb megoldás > ún. multifaktoros hitelesítés Tanúsítvány, smartcard, USB kulcs szükséges

Modern hitelesítési módszerek Method Előnyök Hátrányok EAP-MSCHAPv2 Könnyű bevezetés Könnyű üzemeltetés Jelszó alapú támadás EAPTLS Biztonságos PKI infrastruktúra, Tanúsítványok kiadása, Üzembe helyezés PEAP Biztonságos csatorna a kevésbé biztonságos hitelesítési módszerek átvitelére NAP integráció

Titkosítás Basic Encription (MPPE 40-bit) Strong Encription (MPPE 56-bit) Strongest Encription (MPPE 128-bit) No Encription IPSec http://en.wikipedia.org/wiki/Microsoft_Point-to-Point_Encryption

RRAS varázslók Remote access (VPN) Remote access (dial-up) Network address translation VPN and NAT Secure connection between two private networks

Demó hálózat W7 kliens vándorló DC, CA 10.1.1.1 VPN Kliens 192.168.1.10 LAN 10.0.0.0/8 DC, CA 10.1.1.1 VPN ROUTER 10.1.1.254

RRAS konfigurálása PPTP/L2TP VPN

Secure Socket Tunneling Protocol (SSTP) Új, Layer 3 VPN tunnel Alagút, mint a PPTP és L2TP/IPSec A PPP forgalmat HTTPS-be csomagolja VPN hozzáférést biztosít tűzfalakon, NAT eszközökön és web proxy-n keresztül SSTP támogatás: Vista SP1-től, régebbi klienseken nem is lesz Windows Server 2008 (kliens és szerver).

SSTP beállítása - Server RRAS automatikusan létrehozza az SSTP portokat a VPN engedélyezésekor Kiszolgálói tanúsítványt kell telepíteni CRL címének elérhetőnek kell lennie

SSTP beállítása - kliens A Windows 7 automatikusan IKEv2 protokollt próbál, utána SSTP-t. Érdemes manuálisan beállítani a protokollsorrendet A kiszolgáló tanúsítványának megbízhatónak kell lennie

SSTP VPN Kiszolgáló és ügyfél oldalon demó SSTP VPN Kiszolgáló és ügyfél oldalon

DirectAccess

DirectAccess a VPN unokája Céges hálózat Mindig csatlakoztatva Bejelentkezés előtt Frissítések, ellenőrések, csoportházirendek Felhasználó hálózati hitelesítése, titkosítás Automatikusan csatlakozik NAT és tűzfal mögül is VPNek csatlakoztatják a felhasználót a hálózathoz A DirectAccess kinyújtja a hálózatot a távoli számítógépre és felhasználóra

DirectAccess csatornák intranet Integritás, titkosítás, hitelesítés IPSec-el védett Első hitelesítés Második hitelesítés Infrastruktúra csatorna Számítógép fiók hitelesítőadatok Computer cert Intranet csatorna Számítógép tanúsítvány Felhasználó vagy Smartcard

Kihívások Internet Céges hálózat Internetes és intranetes bujtató protokollok IPv6 támogatással IPv4-ben Internetes alagút a kliens Internet-hozzáférésétől függ – Internet, NAT, tűzfal mögött Internetforgalom titkosítása/hitelesítése (gép-gép vagy gép-hálózat) - PKI szükséges Client location detection: éppen hol is vagyunk? Interneten vagy céges hálózaton

Kapcsolódási módszerek DirectAccess SERVER Natív IPv6 IPv4 Internet ISATAP 6to4 alagút IPv6 az IPv4 protokollban IPv6 az IPv4 protokollban Céges hálózat Teredo alagút NAT DNS64 IPv6 in UDP port 3544 NAT64 IPv4 IPHTTPS alagút NAT IPv6 in HTTPS

NRPT - name resolution policy table corp.example.com zone DHCP-től Kapott DNS DNS 1 DNS 2 nls.corp.example.com Internet Céges hálózat Nincs NRPT NRPT: corp.example.com: DNS 2-től kérdezi le Minden más DNS kérést a kliens hálózati beállításai alapján kéri le

NPS Network Policy Server

NPS A Microsoft új AAA (Authentication, Authorization, Accounting) kiszolgálója (régebben IAS) Részei: RADIUS server: RADIUS proxy Network Access Protection (NAP) policy server Házirendeket kezel a NAP kényszerítési módszerekhez

NPS – infrastruktúra Hálózat hozzáférés kérése 4/5/2017 3:18 PM NPS – infrastruktúra Network Policy Server Hálózat hozzáférés kérése Az eszköz továbbítja a kérést és a hitelesítő adatokat az NPS kiszolgálónak 802.1x switch Az NPS megvizsgálja a házirendeket, és továbbítja a bejelentkezési információkat a hitelesítő kiszolgálóknak Wireless AP DHCP Server Routing and Remote Access Server Health Registration Authority Ha van egyező házirend, a hitelesítő adatok helyesek, és esetleg a gép még egészséges is, akkor engedélyezi a hozzáférést Certificate Authority Az eszköz hozzáférést biztosít MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

NPS házirendek Az alapértelmezett házirendek létrejönnek, amikor egy szolgáltatást engedélyezünk Connection Request Policies Eldönti, melyik NPS server dolgozza fel a kérést Health Policies – Csak a NAP-nál használjuk Network policies Hozzáférési szabályok

NPS NPS felülete Getting Started – Scenario Configuration Wizards RADIUS kliensek és kiszolgálók RADIUS kliensek igazából kiszolgálók (Pl. VPN, TMG, Access Point, 802.1x switch)

WLAN hitelesítése RADIUS-al 802.11-es vezeték nélküli hozzáférés hitelesítése 802.1x protokoll és RADIUS (NPS) segítségével Több AP központi szabályozása Hitelesítés AD címtárból Tanúsítvánnyal vagy felhasználónév/jelszó segítségével (EAP-TLS és PEAP) A legtöbb AP-vel együttműködik Windows 7, Vista, XP klienseken

WLAN hitelesítése RADIUS-al Hitelesítési módszerek Jelszó alapú (PAP, CHAP, MSCHAPv2) Tanúsítvány alapú (EAP-TLS) EAP - Extensible Authentication Protocol Bővíthető hitelesítési protokoll (EAP-MSCHAPv2)

Köszönöm a figyelmet