Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Windows Server 2008 Távoli elérés – I.
Szentgyörgyi Tibor EBS MVP Techtutor Informatikai szaktanácsadó közösség
2
Miről lesz szó? Távelérési protokollok NPAS bemutatása RRAS képességek
PPTP L2TP SSTP IKEv2 DirectAccess
3
Távelérési protokollok
RRAS képességek Távelérési protokollok
4
NPAS - Network Policy and Access Service
Windows Server szerepkör RRAS - Routing and Remote Access Service PPTP, LT2P, SSTP és IKEv2 VPN Site-to-Site VPN – erről majd a pénteki előadáson NPS – Network Policy Server RADIUS server és proxy Vezeték nélküli 802.1x hitelesítés Vezetékes hitelesítés
5
RRAS Feladata: VPN és dial-up távelérés
multiprotocol LAN-to-LAN, LAN-to-WAN, NAT, route Site-to-Site VPN Újdonságok: Secure Socket Tunneling Protocol (SSTP) R2: IKEv2 – VPN reconnect Teljes körű IPv6 támogatás
6
Klasszikus VPN protokollok
PPTP Legegyszerűbb távelérési protokoll TCP 1723 vezérlőcsatorna IP Protocol ID 47 (GRE) adatcsatorna L2TP Layer 2 protokoll IPSec titkosítás (tanúsítvány vagy Pre-shared) UDP IKE, UDP 1701, UDP 4500 (NAT-T)
7
Modern VPN protokollok
IKEv2 IPSec titkosítás (AES 256) Tanúsítvány vagy jelszó alapú hitelesítés EAP-MSCHAP v2, PEAP vagy cert VPN Reconnect UDP 500 (IKE), UDP 4500 (NAT-T) SSTP TCP 443
8
VPN hitelesítési protokollok
PAP A „leggyengébb” megoldás > plaintext jelszó > viszont kompatibilis SPAP Jelszó: visszafejthető titkosítás, csak speciális (Shiva) hardver esetén CHAP Kihívás-válasz típusú, jelszó: visszafejthető titkosítás Macintosh / UNIX kompatibilitás Adattitkosítás nincs itt sem MS-CHAP Nem szükséges hozzá a jelszavakat visszafejthetően tárolni Adattitkosítás van (MPPE) Régi klienseknél és csak akkor használjuk, ha jobbat nem lehet MS-CHAPv2 Javítja az MS-CHAP esetlenségeit Kölcsönös hitelesítés Az adattitkosítás kulcsai szeparáltan közlekednek az adatforgalomtól Ezek a kulcsok nem függnek a jelszavak gyengeségétől EAP-TLS A legbiztonságosabb megoldás > ún. multifaktoros hitelesítés Tanúsítvány, smartcard, USB kulcs szükséges
9
Modern hitelesítési módszerek
Method Előnyök Hátrányok EAP-MSCHAPv2 Könnyű bevezetés Könnyű üzemeltetés Jelszó alapú támadás EAPTLS Biztonságos PKI infrastruktúra, Tanúsítványok kiadása, Üzembe helyezés PEAP Biztonságos csatorna a kevésbé biztonságos hitelesítési módszerek átvitelére NAP integráció
10
Titkosítás Basic Encription (MPPE 40-bit)
Strong Encription (MPPE 56-bit) Strongest Encription (MPPE 128-bit) No Encription IPSec
11
RRAS varázslók Remote access (VPN) Remote access (dial-up)
Network address translation VPN and NAT Secure connection between two private networks
12
Demó hálózat W7 kliens vándorló DC, CA 10.1.1.1 VPN Kliens
LAN /8 DC, CA VPN ROUTER
13
RRAS konfigurálása PPTP/L2TP VPN
14
Secure Socket Tunneling Protocol (SSTP)
Új, Layer 3 VPN tunnel Alagút, mint a PPTP és L2TP/IPSec A PPP forgalmat HTTPS-be csomagolja VPN hozzáférést biztosít tűzfalakon, NAT eszközökön és web proxy-n keresztül SSTP támogatás: Vista SP1-től, régebbi klienseken nem is lesz Windows Server 2008 (kliens és szerver).
15
SSTP beállítása - Server
RRAS automatikusan létrehozza az SSTP portokat a VPN engedélyezésekor Kiszolgálói tanúsítványt kell telepíteni CRL címének elérhetőnek kell lennie
16
SSTP beállítása - kliens
A Windows 7 automatikusan IKEv2 protokollt próbál, utána SSTP-t. Érdemes manuálisan beállítani a protokollsorrendet A kiszolgáló tanúsítványának megbízhatónak kell lennie
17
SSTP VPN Kiszolgáló és ügyfél oldalon
demó SSTP VPN Kiszolgáló és ügyfél oldalon
18
DirectAccess
19
DirectAccess a VPN unokája
Céges hálózat Mindig csatlakoztatva Bejelentkezés előtt Frissítések, ellenőrések, csoportházirendek Felhasználó hálózati hitelesítése, titkosítás Automatikusan csatlakozik NAT és tűzfal mögül is VPNek csatlakoztatják a felhasználót a hálózathoz A DirectAccess kinyújtja a hálózatot a távoli számítógépre és felhasználóra
20
DirectAccess csatornák
intranet Integritás, titkosítás, hitelesítés IPSec-el védett Első hitelesítés Második hitelesítés Infrastruktúra csatorna Számítógép fiók hitelesítőadatok Computer cert Intranet csatorna Számítógép tanúsítvány Felhasználó vagy Smartcard
21
Kihívások Internet Céges hálózat
Internetes és intranetes bujtató protokollok IPv6 támogatással IPv4-ben Internetes alagút a kliens Internet-hozzáférésétől függ – Internet, NAT, tűzfal mögött Internetforgalom titkosítása/hitelesítése (gép-gép vagy gép-hálózat) - PKI szükséges Client location detection: éppen hol is vagyunk? Interneten vagy céges hálózaton
22
Kapcsolódási módszerek
DirectAccess SERVER Natív IPv6 IPv4 Internet ISATAP 6to4 alagút IPv6 az IPv4 protokollban IPv6 az IPv4 protokollban Céges hálózat Teredo alagút NAT DNS64 IPv6 in UDP port 3544 NAT64 IPv4 IPHTTPS alagút NAT IPv6 in HTTPS
23
NRPT - name resolution policy table
corp.example.com zone DHCP-től Kapott DNS DNS 1 DNS 2 nls.corp.example.com Internet Céges hálózat Nincs NRPT NRPT: corp.example.com: DNS 2-től kérdezi le Minden más DNS kérést a kliens hálózati beállításai alapján kéri le
24
NPS Network Policy Server
25
NPS A Microsoft új AAA (Authentication, Authorization, Accounting) kiszolgálója (régebben IAS) Részei: RADIUS server: RADIUS proxy Network Access Protection (NAP) policy server Házirendeket kezel a NAP kényszerítési módszerekhez
26
NPS – infrastruktúra Hálózat hozzáférés kérése
4/5/2017 3:18 PM NPS – infrastruktúra Network Policy Server Hálózat hozzáférés kérése Az eszköz továbbítja a kérést és a hitelesítő adatokat az NPS kiszolgálónak 802.1x switch Az NPS megvizsgálja a házirendeket, és továbbítja a bejelentkezési információkat a hitelesítő kiszolgálóknak Wireless AP DHCP Server Routing and Remote Access Server Health Registration Authority Ha van egyező házirend, a hitelesítő adatok helyesek, és esetleg a gép még egészséges is, akkor engedélyezi a hozzáférést Certificate Authority Az eszköz hozzáférést biztosít MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
27
NPS házirendek Az alapértelmezett házirendek létrejönnek, amikor egy szolgáltatást engedélyezünk Connection Request Policies Eldönti, melyik NPS server dolgozza fel a kérést Health Policies – Csak a NAP-nál használjuk Network policies Hozzáférési szabályok
28
NPS NPS felülete Getting Started – Scenario Configuration Wizards
RADIUS kliensek és kiszolgálók RADIUS kliensek igazából kiszolgálók (Pl. VPN, TMG, Access Point, 802.1x switch)
29
WLAN hitelesítése RADIUS-al
es vezeték nélküli hozzáférés hitelesítése 802.1x protokoll és RADIUS (NPS) segítségével Több AP központi szabályozása Hitelesítés AD címtárból Tanúsítvánnyal vagy felhasználónév/jelszó segítségével (EAP-TLS és PEAP) A legtöbb AP-vel együttműködik Windows 7, Vista, XP klienseken
30
WLAN hitelesítése RADIUS-al
Hitelesítési módszerek Jelszó alapú (PAP, CHAP, MSCHAPv2) Tanúsítvány alapú (EAP-TLS) EAP - Extensible Authentication Protocol Bővíthető hitelesítési protokoll (EAP-MSCHAPv2)
31
Köszönöm a figyelmet
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.