Upload
hedya
View
53
Download
4
Embed Size (px)
DESCRIPTION
Távoli elérés és munkavégzés Üzemeltetői szemmel. Gál Tamás [email protected] MCSE, MCSA, MCT, MVP. Tartalom. Felvezetés Windows Server 2003 komponensek RRAS, VPN, CMAK, RDP Az RRAS esete az ISA Serverrel W2K3 üzemeltetés HTTPS-sel Vista / Longhorn kitekintés - PowerPoint PPT Presentation
Citation preview
Távoli elérés és munkavégzésÜzemeltetői szemmel
Gál Tamá[email protected], MCSA, MCT, MVP
TartalomFelvezetésWindows Server 2003 komponensek
RRAS, VPN, CMAK, RDPAz RRAS esete az ISA ServerrelW2K3 üzemeltetés HTTPS-selVista / Longhorn kitekintés
ISA 2006 spéci publikálások > 2007.01.17.
Még több elérés kellMég több elérés kell Távmunkások, mobil felhasználók Távmunkások, mobil felhasználók ((otthonról, otthonról,
hotelekből,hotelekből, stb.stb.)) „„Drót nélkül” bárhonnan (hotspot-ok, repterek, stb.)Drót nélkül” bárhonnan (hotspot-ok, repterek, stb.) Dolgozók +: partnerek, beszállítók, vevők, stb.Dolgozók +: partnerek, beszállítók, vevők, stb.
Viszont...Viszont... A távoli elérés sosem biztonságosA távoli elérés sosem biztonságos
Nincs felügyelet és központi kezelésNincs felügyelet és központi kezelés Nincs GP, WSUS, központi AV, szoftvertelepítés, stb.Nincs GP, WSUS, központi AV, szoftvertelepítés, stb.
FelvezetésA probléma
Elérés <> biztonság Elérés <> biztonság dilemmadilemmaAmi szinte biztosan kellAmi szinte biztosan kell
1. A belső webes alkalmazások külső elérése1. A belső webes alkalmazások külső elérése Webszerverek, SPS, Exhange komponensekWebszerverek, SPS, Exhange komponensek
2. A desktop elérése (RDP) 2. A desktop elérése (RDP) 3. VPN3. VPN
Szimpla, Site-to-SiteSzimpla, Site-to-Site
Mikor, melyik? Kinek, melyik?Mikor, melyik? Kinek, melyik?
FelvezetésA probléma
Network Access Server (RRAS és/vagy ISA)
IAS Server(RADIUS)
DHCP Server
DomainController
Dial-up kliens
VPN kliens
FelvezetésInfrastruktúra
Fiókiroda hardveres
VPNOWA, Outlook
kliensek
Outlook Mobile AccessXHTML, cHTML, HTML
ActiveSync
WirelessNetwork
Fiókiroda szoftveres
VPN
Windows Server 2003 komponensek Amire az RRAS képes Távoli elérés (dialup / VPN) Site-to-site kapcsolatok (dialup / VPN, DoD) Átjárás az Internet felé (NAT) LAN router (több Ethernet interfész esetén) A fentiek összes kombinációja Teljesítmény?
Hardver, összetevők, sávszélesség, stb. http://tinyurl.com/ymmkmd
Windows Server 2003 komponensek
Amire az RRAS képesTávelérési házirendek Üresjárat, max. munkamenet, időbeli szigorítás, stb.
Connection Manager használata (később)
RADIUS (IAS) támogatás Hitelesítés és házirendek központilag
VPN karantén (csak W2K3) A VPN kliensek rendszabályozásához
Windows Server 2003 komponensekRRAS policy
Visszahívási opciók
Statikus útválasztás A „Caller ID”
ellenőrzése
Távoli elérés jogosultságai!
Statikus IP hozzárendelés
Windows Server 2003 komponensekRRAS opciók a címtárban
Poll1Poll1
Windows Server 2003 komponensek RRAS Firewall Statikus szűrés + Basic tűzfal
Elsősorban a DMZ-ben vagy teljesen „kintre” helyezett RRAS esetén
Extrák nélkül (stateful, intrusion detection, stb.) Statikus szűrés (publikus, privát, PPP interfész)
Egyszerű stateless (forrás, cél, port, stb.) Védheti az RRAS-t és a belső hálót is
Basic tűzfal (VPN és VPN + NAT) Csak az RRAS-on > host firewall
Windows Server 2003 komponensekRRAS Firewall
Windows Server 2003 komponensekRRAS - parancssorból is Netsh – mint mindig
Netsh ras add authtype add authtype [type = ] PAP|SPAP|MD5CHAP|MSCHAP|MSCHAPv2|EAP
Netsh ras add registeredserver Netsh ras add multilink [type = ] MULTI|BACP Netsh ras aaaa set authentication [provider =]
WINDOWS|RADIUS Netsh ras dump > “<filename>” Netsh exec “<filename>”
Windows Server 2003 komponensekKis kitérő: RAS + VPN „szerver” a kliensen W2K, XP, Vista
limitált távoli elérés 1 kapcsolat
Dial-up, VPN PPTP, L2TP
Helyi fiók kell hozzá
VPN alagútBújtató protokollok és adatok
VPN kliens
VPN szerver
IP és DNS szerver hozzárendelésDHCPServer
DomainController
Hitelesítés
PPP kapcsolat
Az „átvivő” hálózat
Windows Server 2003 komponensek
VPN – a komplett megoldás
Közös tulajdonságokKözös tulajdonságok Pont-pont, TCP-IP alap, „tunelling” protokollokPont-pont, TCP-IP alap, „tunelling” protokollok
PPTP (Point-to-Point Tunneling Protocol)PPTP (Point-to-Point Tunneling Protocol) MPPE 128-bit RC4 a titkosításraMPPE 128-bit RC4 a titkosításra MS-CHAPv2 a jelszó alapú hitelesítésreMS-CHAPv2 a jelszó alapú hitelesítésre PKI támogatás is > SmartCard (EAP-TLS)PKI támogatás is > SmartCard (EAP-TLS) Egyszerűen NAT-olhatóEgyszerűen NAT-olható Egyszerű, gyorsan beüzemelhető, biztonságosEgyszerű, gyorsan beüzemelhető, biztonságos
Windows Server 2003 komponensek
VPN - protokollok
L2TP (Layer Two Tunneling Protocol)L2TP (Layer Two Tunneling Protocol) Tanúsítvány alapú hitelesítésTanúsítvány alapú hitelesítés IPSec ESP transzport módIPSec ESP transzport mód
Kölcsönös hitelesítés: tanúsítvány / pre-shared key (!)Kölcsönös hitelesítés: tanúsítvány / pre-shared key (!) Az IPSec pl. 3DES-sel titkosít, egy automatikusan Az IPSec pl. 3DES-sel titkosít, egy automatikusan
létrejövő filterrel (UDP 1701)létrejövő filterrel (UDP 1701) PKI infrastruktúra szükségesPKI infrastruktúra szükséges
Azaz lényegesen bonyolultabb a beüzemelése, viszont Azaz lényegesen bonyolultabb a beüzemelése, viszont fokozottan biztonságosfokozottan biztonságos
NAT-TraversalNAT-Traversal
Windows Server 2003 komponensek
VPN - protokollok
Windows Server 2003 komponensek Site-to-Site VPNKettő vagy több hálózat összekötéseTávoli VPN kiszolgáló
Szoftver / HardverPPTP v. L2TP / IPSec v. IPSec
Pre-shared key!Címkiosztás és útválasztás
IP címtartomány a távoli hálózatnak A forgalom tipikusan a két hálózat között
szükséges A „hídfők” egyben VPN routerek is
Alapesetben egy VPN kliensnek szinten mindent szabad nincs Csoportházirend, központi virusirtó, WSUS, stb.
VPN karantén esetén (W2K3 v. ISA) Speciális (CMAK), előre elkészített kliens oldali VPN
kapcsolatot használunk RQC.exe + a kapcsolat + a szkript
Engedélyezni és konfigurálni kell a szerveren RQS.exe, listener
A feltételeink alapján történő kliens oldali vizsgálat eredménye lesz a döntő
Windows Server 2003 komponensek VPN karantén
ISAServer
DNSServer
WebServer
DomainController
FileServer
Quarantine script
VPN QuarantineClients Network
VPN Clients Network
RQC.exe
Quarantine remote access policy
Windows Server 2003 komponensek VPN karantén
Windows Server 2003 komponensek
Connection Manager Administration KitSpeciális eszköz, amellyel csomagolunk:Speciális eszköz, amellyel csomagolunk:1. Előredefiniált VPN kliens beállításokat1. Előredefiniált VPN kliens beállításokat2. Kiegészítő eszközöket (opcionálisan)2. Kiegészítő eszközöket (opcionálisan)
Az előkészítése eredménye egy .exe fájlAz előkészítése eredménye egy .exe fájl A kliensen pedig: egy testreszabott VPN kapcsolatA kliensen pedig: egy testreszabott VPN kapcsolat
demó
Connection Manager Administration Kit
Poll2Poll2
Windows Server 2003 komponensek
Remote DesktopHelyeHelye Ha több kell, mint a webes alkalmazásokHa több kell, mint a webes alkalmazások Ha nem akarunk teljes hálózati elérést (VPN)Ha nem akarunk teljes hálózati elérést (VPN)
Remote Desktop Users Remote Desktop Users csoporttagságcsoporttagság128-bit RC4 128-bit RC4 az alapértelmezett titkosításaz alapértelmezett titkosításRDP 6.0RDP 6.0
Vistában alapértelmezettVistában alapértelmezett XPSP2-re és W2K03-ra letölthető (WU/MU)XPSP2-re és W2K03-ra letölthető (WU/MU)
Windows Server 2003 komponensek
Remote DesktopRDP és RDP MMCRDP és RDP MMC
Windows Server 2003 komponensek
RDP over SSL (TLS) SSzerver oldalzerver oldal W2K3SP1 + érvényes CA W2K3SP1 + érvényes CA
(pl. SelfSSL.exe)(pl. SelfSSL.exe) Computer CA, Server authComputer CA, Server auth Privát kulcsos változat a Privát kulcsos változat a
TS Personal Store-banTS Personal Store-ban Kliens oldalKliens oldal
W2W2K, XP, W2K3K, XP, W2K3 Legalább RDP 5.2Legalább RDP 5.2 A tanúsítvány RA tanúsítvány Root CAoot CA-ja-ja
Windows Server 2003 komponensek
Remote Desktop Web ConnectionEgyszerűen publikálható és frissíthető Egyszerűen publikálható és frissíthető alkalmazások a felhasználók feléalkalmazások a felhasználók felé
Alacsony sávszélesség-igény – akár még Alacsony sávszélesség-igény – akár még modemen is tűrhető sebességmodemen is tűrhető sebesség
Nemcsak Windows platformraNemcsak Windows platformraRégi hardverek számára is ideálisRégi hardverek számára is ideálisAz RDP over SSL-t nem támogatjaAz RDP over SSL-t nem támogatja
webwebbrowserbrowser
IIS IIS ++RDWCRDWC
TerminalTerminalServerServer
http://http://serverserver/tsweb/tsweb
ActiveX controlActiveX control letöltése letöltéseHTTP (80HTTP (80 // TCP TCP))
HTTPS (443HTTPS (443 // TCP TCP))
TSTSover RDP (3389over RDP (3389 // TCP TCP))
Windows Server 2003 komponensek
Remote Desktop Web Connection
RRAS esete az ISA Serverrel Az ISA Server előnyeiAz ISA Server előnyei
Egy helyen, együtt a tűzfallal Stateful inspection VPN kapcsolatokhoz (is)Rendelkezésre álló hálózattípusok
VPN Clients \ Q VPN Clients \ Remote Sites Más hálózatokhoz kapcsolódás könnyedén Tűzfal szabályok ugyanúgy használhatóak
VPN karantén (W2K Server esetén is)Naplózás, monitorozás korrekt
RRAS esete az ISA Serverrel RRAS <> ISA 2004 (Q838374)RRAS <> ISA 2004 (Q838374)Az RRAS előfeltétel az ISA VPN-hez...
...de végül mindig az ISA győz Az ISA felülírja az RRAS beállításokat
viszont az ISA MMC-ben néhány opció nincs jelen ezért néha muszáj kiigazítani (pl. szkripttel)
Néhány funkció nem működik tovább RRAS csomagszűrés VPN karantén
demó
W2K3 üzemeltetés - HTTPS-sel
https://server:8098
Vista / Longhorn kitekintésMi várható illetve mi van már?Network Access ProtectionNetwork Access Protection
Az összes VPN típusra és a RAS kapcsolatokra isAz összes VPN típusra és a RAS kapcsolatokra is IPv4 / IPv6 szinténIPv4 / IPv6 szintén PEAP + MS-CHAPv2 esetén tanúsítvány sem kellPEAP + MS-CHAPv2 esetén tanúsítvány sem kell Site-to-Site VPN-re viszont nem alkalmazhatóSite-to-Site VPN-re viszont nem alkalmazható
IPv6IPv6 L2TPv6 (Vista / LH) illetve PPTPv6 (Vista SP1 / LH)L2TPv6 (Vista / LH) illetve PPTPv6 (Vista SP1 / LH)
CMAK változásokCMAK változások Többnyelvűség támogatása, DDNS használataTöbbnyelvűség támogatása, DDNS használata
Vista / Longhorn kitekintésHálózati kapcsolatok varázsló és menü
Vista / Longhorn kitekintésMi várható illetve mi van már?Protokoll változások - PPTPProtokoll változások - PPTP
A A 40/56 bit RC4 40/56 bit RC4 ((PPTPPPTP) nincs többé, ergo:) nincs többé, ergo: PPTP esetén használjuk a 128 bites RC4-etPPTP esetén használjuk a 128 bites RC4-et Nem támogatott megoldás: Nem támogatott megoldás: HKLM\System\HKLM\System\
CurrentControlSet\Services\Rasman\Parameters\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto AllowPPTPWeakCrypto = 1= 1
Protokoll változások – L2TPProtokoll változások – L2TP DES és MD5 nincs többé, de DES és MD5 nincs többé, de AES 128 AES 128 / / 256 bit, 256 bit,
3DES 3DES illetve illetve SHA1 SHA1 támogatás vantámogatás van Nem támogatott megoldás: Nem támogatott megoldás: HKLM\System\HKLM\System\
CurrentControlSet\Services\Rasman\Parameters\CurrentControlSet\Services\Rasman\Parameters\AllowL2TPWeakCrypto AllowL2TPWeakCrypto = = 11
Vista / Longhorn kitekintésMi várható illetve mi van már?Hitelesítés változásokHitelesítés változások
EAP-MD5, SPAP EAP-MD5, SPAP ésés az az MSMS--CHAP CHAP törölve törölve PAPPAP**,, CHAP CHAP**, MS, MS--CHAPv2, EAP-MSCHAPv2, EAP-MS--CHAPv2, CHAPv2,
EAP-smartcard/certificate, PEAP-MSEAP-smartcard/certificate, PEAP-MS--CHAPv2, CHAPv2, PEAP-smartcard/certificatePEAP-smartcard/certificate
Az Az L2TP/IPSec L2TP/IPSec kliens jobban vizsgálódik...kliens jobban vizsgálódik... ...a tanúsítványokban (a man-in-the-middle miatt) ...a tanúsítványokban (a man-in-the-middle miatt)
Secure Socket Tunneling ProtocolSecure Socket Tunneling Protocol Újfajta VPN csatornatípus (Vista SP1 + LH Server)Újfajta VPN csatornatípus (Vista SP1 + LH Server) „„VPN over HTTP” (mindenen át: web proxy / NAT)VPN over HTTP” (mindenen át: web proxy / NAT)
*nem ajánlott üzemszerűen, csak pl. PPPoE esetén
További információ Web
Magyar TechNet Portál http://www.microsoft.hu/technet
Minden ami RRAS http://www.microsoft.com/technet/network/rras/
default.mspx
RSS RRAS Team Blog
http://blogs.technet.com/rrasblog/default.aspx