Windows Server 2008Távoli elérés – I.Szentgyörgyi TiborEBS MVP Techtutor Informatikai szaktanácsadó közösségTibor@halasztelek.hu

Miről lesz szó?

Távelérési protokollokNPAS bemutatásaRRAS képességek

PPTPL2TPSSTPIKEv2

DirectAccess

RRAS képességekTávelérési protokollok

NPAS - Network Policy and Access Service

Windows Server szerepkörRRAS - Routing and Remote Access Service

PPTP, LT2P, SSTP és IKEv2 VPNSite-to-Site VPN – erről majd a pénteki előadáson

NPS – Network Policy ServerRADIUS server és proxyVezeték nélküli 802.1x hitelesítésVezetékes hitelesítés

RRASFeladata:

VPN és dial-up távelérés multiprotocol LAN-to-LAN, LAN-to-WAN, NAT, routeSite-to-Site VPN

Újdonságok:Secure Socket Tunneling Protocol (SSTP)R2: IKEv2 – VPN reconnectTeljes körű IPv6 támogatás

Klasszikus VPN protokollokPPTP

Legegyszerűbb távelérési protokollTCP 1723 vezérlőcsatornaIP Protocol ID 47 (GRE) adatcsatorna

L2TPLayer 2 protokollIPSec titkosítás (tanúsítvány vagy Pre-shared)UDP 500 - IKE, UDP 1701, UDP 4500 (NAT-T)

Modern VPN protokollokIKEv2

IPSec titkosítás (AES 256)Tanúsítvány vagy jelszó alapú hitelesítés

EAP-MSCHAP v2, PEAP vagy cert

VPN ReconnectUDP 500 (IKE), UDP 4500 (NAT-T)

SSTPTCP 443

Modern hitelesítési módszerek

Method Előnyök Hátrányok

EAP-MSCHAPv2 Könnyű bevezetésKönnyű üzemeltetés

Jelszó alapú támadás

EAPTLS Biztonságos PKI infrastruktúra,Tanúsítványok kiadása, Üzembe helyezés

PEAP Biztonságos csatorna a kevésbé biztonságos hitelesítési módszerek átvitelére

NAP integráció

PKI infrastruktúra,Tanúsítványok kiadása, Üzembe helyezés

TitkosításBasic Encription (MPPE 40-bit)Strong Encription (MPPE 56-bit)Strongest Encription (MPPE 128-bit)No EncriptionIPSec

http://en.wikipedia.org/wiki/Microsoft_Point-to-Point_Encryption

RRAS varázslókRemote access (VPN)Remote access (dial-up)Network address translationVPN and NATSecure connection between two private networks

Demó hálózat

LAN10.0.0.0/8

LAN10.0.0.0/8

DC, CA10.1.1.

1

VPN ROUTER

10.1.1.254

VPN Kliens192.168.1.

10

W7 kliensvándorló

demóRRAS konfigurálása

PPTP/L2TP VPN

Kép a demóból

Secure Socket Tunneling Protocol (SSTP)

Új, Layer 3 VPN tunnel Alagút, mint a PPTP és L2TP/IPSec

A PPP forgalmat HTTPS-be csomagoljaVPN hozzáférést biztosít tűzfalakon, NAT eszközökön és web proxy-n keresztülSSTP támogatás:

Vista SP1-től, régebbi klienseken nem is leszWindows Server 2008 (kliens és szerver).

SSTP beállítása - Server RRAS automatikusan létrehozza az SSTP portokat a VPN engedélyezésekorKiszolgálói tanúsítványt kell telepíteniCRL címének elérhetőnek kell lennie

SSTP beállítása - kliensA Windows 7 automatikusan IKEv2 protokollt próbál, utána SSTP-t. Érdemes manuálisan beállítani a protokollsorrendetA kiszolgáló tanúsítványának megbízhatónak kell lennie

SSTP VPNKiszolgáló és ügyfél oldalon

demóRRAS Server

AppServer

Corporate NetworkPublic Network

Internet

Client

DMZ

NPS Server

Establish SSTP Tunnel

(PPP over HTTPS) (3)

Authenticate User (4)

Domain Controller

Tunnel Established. Server gives

various IP parameters to

client (5)

Dial the SSTP connectoid (2)

IP Interface created.

User starts app (6)

SSTP System Level Architecure

DirectAccess

DirectAccess a VPN unokájaCéges hálózat

Mindig csatlakoztatv

a

Automatikusan csatlakozik NAT

és tűzfal mögül is

Frissítések, ellenőrések, csoportházirendekBejelentkezés előtt

Felhasználó hálózati hitelesítése, titkosítás

A DirectAccess kinyújtja a hálózatot a távoli számítógépre és felhasználóra

VPNek csatlakoztatják a felhasználót a hálózathoz

19

DirectAccess csatornákintranet

Infrastruktúra csatorna

Intranet csatorna

Első hitelesít

és

Számítógép tanúsítvány

Computer cert

IPSec-el védettMásodik hitelesítés

Számítógép fiók hitelesítőadatok

Felhasználó vagy Smartcard

Integritás, titkosítás, hitelesítés

Kihívások

Internetes és intranetes bujtató protokollok IPv6 támogatással IPv4-ben

Internetes alagút a kliens Internet-hozzáférésétől függ – Internet, NAT, tűzfal mögött

Internetforgalom titkosítása/hitelesítése (gép-gép vagy gép-hálózat) - PKI szükséges

Client location detection: éppen hol is vagyunk? Interneten vagy céges hálózaton

Céges hálózatInternet

21

Kapcsolódási módszerek

6to4 alagút

Teredo alagútNAT

IPHTTPS alagútNAT

IPv4 Internet

IPv6 in UDP port 3544

IPv6 az IPv4 protokollban

IPv6 in HTTPS

Natív IPv6

ISATAP

IPv6 az IPv4 protokollban

IPv4NAT64

DNS64

Céges hálózat

DirectAccess SERVER

NRPT - name resolution policy table

Internet Céges hálózat

corp.example.com zoneDNS 1 DNS 2DHCP-től

Kapott DNSnls.corp.example.com

NRPT:corp.example.com: DNS 2-től kérdezi leMinden más DNS kérést a kliens hálózati beállításai alapján kéri le

Nincs NRPT

23

NPS

Network Policy Server

NPSA Microsoft új AAA (Authentication, Authorization, Accounting)

kiszolgálója (régebben IAS)Részei:

RADIUS server: RADIUS proxyNetwork Access Protection (NAP) policy server

Házirendeket kezel a NAP kényszerítési módszerekhez

NPS – infrastruktúra

Hálózat hozzáférés

kéréseAz eszköz továbbítja a kérést és a hitelesítő

adatokat az NPS kiszolgálónak

Az NPS megvizsgálja a házirendeket, és

továbbítja a bejelentkezési

információkat a hitelesítő kiszolgálóknak

Ha van egyező házirend, a hitelesítő adatok

helyesek, és esetleg a gép még egészséges is,

akkor engedélyezi a hozzáférést

Az eszköz hozzáférést

biztosít

DHCP ServerRouting and Remote Access Server

802.1x switch

Certificate Authority

Health Registration Authority

Wireless AP

Network Policy Server

NPS házirendekAz alapértelmezett házirendek létrejönnek, amikor egy szolgáltatást engedélyezünk

Connection Request PoliciesEldönti, melyik NPS server dolgozza fel a kérést

Health Policies – Csak a NAP-nál használjukNetwork policies

Hozzáférési szabályok

demóNPSNPS felületeGetting Started – Scenario Configuration WizardsRADIUS kliensek és kiszolgálók

RADIUS kliensek igazából kiszolgálók (Pl. VPN, TMG, Access Point, 802.1x switch)

WLAN hitelesítése RADIUS-al802.11-es vezeték nélküli hozzáférés hitelesítése 802.1x protokoll és RADIUS (NPS) segítségével

Több AP központi szabályozása Hitelesítés AD címtárbólTanúsítvánnyal vagy felhasználónév/jelszó segítségével (EAP-TLS és PEAP)A legtöbb AP-vel együttműködikWindows 7, Vista, XP klienseken

WLAN hitelesítése RADIUS-alHitelesítési módszerek

Jelszó alapú (PAP, CHAP, MSCHAPv2)Tanúsítvány alapú (EAP-TLS)EAP - Extensible Authentication Protocol Bővíthető hitelesítési protokoll (EAP-MSCHAPv2)

Köszönöm a figyelmet