Távoli elérés és munkavégzés Üzemeltetői szemmel - PowerPoint PPT Presentation

t voli el r s s munkav gz s zemeltet i szemmel n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Távoli elérés és munkavégzés Üzemeltetői szemmel PowerPoint Presentation
Download Presentation
Távoli elérés és munkavégzés Üzemeltetői szemmel

play fullscreen
1 / 68
Távoli elérés és munkavégzés Üzemeltetői szemmel
159 Views
Download Presentation
hedya
Download Presentation

Távoli elérés és munkavégzés Üzemeltetői szemmel

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Távoli elérés és munkavégzésÜzemeltetői szemmel Gál Tamás gtamas@tjszki.hu MCSE, MCSA, MCT, MVP

  2. Tartalom • Felvezetés • Windows Server 2003 komponensek • RRAS, VPN, CMAK, RDP • Az RRAS esete az ISA Serverrel • W2K3 üzemeltetés HTTPS-sel • Vista / Longhorn kitekintés • ISA 2006 spéci publikálások > 2007.01.17.

  3. FelvezetésA probléma • Még több elérés kell • Távmunkások, mobil felhasználók (otthonról, hotelekből,stb.) • „Drót nélkül” bárhonnan (hotspot-ok, repterek, stb.) • Dolgozók +: partnerek, beszállítók, vevők, stb. • Viszont... • A távoli elérés sosem biztonságos • Nincs felügyelet és központi kezelés • Nincs GP, WSUS, központi AV, szoftvertelepítés, stb.

  4. FelvezetésA probléma • Elérés <> biztonság dilemma • Ami szinte biztosan kell 1. A belső webes alkalmazások külső elérése • Webszerverek, SPS, Exhange komponensek 2. A desktop elérése (RDP) 3. VPN • Szimpla, Site-to-Site • Mikor, melyik? Kinek, melyik?

  5. ActiveSync Outlook Mobile AccessXHTML, cHTML, HTML FelvezetésInfrastruktúra Wireless Network Network AccessServer (RRAS és/vagy ISA) DHCP Server Domain Controller VPN kliens IAS Server (RADIUS) Dial-up kliens Fiókiroda szoftveres VPN Fiókiroda hardveres VPN OWA, Outlook kliensek

  6. Windows Server 2003 komponensek Amire az RRAS képes • Távoli elérés (dialup / VPN) • Site-to-site kapcsolatok (dialup / VPN, DoD) • Átjárás az Internet felé (NAT) • LAN router (több Ethernet interfész esetén) • A fentiek összes kombinációja • Teljesítmény? • Hardver, összetevők, sávszélesség, stb. • http://tinyurl.com/ymmkmd

  7. Windows Server 2003 komponensek Amire az RRAS képes • Távelérési házirendek • Üresjárat, max. munkamenet, időbeli szigorítás, stb. • Connection Manager használata (később) • RADIUS (IAS) támogatás • Hitelesítés és házirendek központilag • VPN karantén (csak W2K3) • A VPN kliensek rendszabályozásához

  8. Windows Server 2003 komponensekRRAS policy

  9. Statikus IP hozzárendelés Visszahívási opciók Statikus útválasztás A „Caller ID” ellenőrzése Távoli elérés jogosultságai! Windows Server 2003 komponensekRRAS opciók a címtárban

  10. Poll1

  11. Windows Server 2003 komponensek RRAS Firewall • Statikus szűrés + Basic tűzfal • Elsősorban a DMZ-ben vagy teljesen „kintre” helyezett RRAS esetén • Extrák nélkül (stateful, intrusion detection, stb.) • Statikus szűrés (publikus, privát, PPP interfész) • Egyszerű stateless (forrás, cél, port, stb.) • Védheti az RRAS-t és a belső hálót is • Basic tűzfal (VPN és VPN + NAT) • Csak az RRAS-on > host firewall

  12. Windows Server 2003 komponensekRRAS Firewall

  13. Windows Server 2003 komponensekRRAS - parancssorból is • Netsh – mint mindig • Netsh ras add authtype add authtype [type = ] PAP|SPAP|MD5CHAP|MSCHAP|MSCHAPv2|EAP • Netsh ras add registeredserver • Netsh ras add multilink [type = ] MULTI|BACP • Netsh ras aaaa set authentication [provider =] WINDOWS|RADIUS • Netsh ras dump > “<filename>” • Netsh exec “<filename>”

  14. Windows Server 2003 komponensekKis kitérő: RAS + VPN „szerver” a kliensen • W2K, XP, Vista • limitált távoli elérés • 1 kapcsolat • Dial-up, VPN • PPTP, L2TP • Helyi fiók kell hozzá

  15. VPN alagút Bújtató protokollok és adatok VPN szerver PPP kapcsolat VPN kliens Domain Controller Az „átvivő” hálózat Hitelesítés DHCP Server IP és DNS szerver hozzárendelés Windows Server 2003 komponensek VPN – a komplett megoldás

  16. Windows Server 2003 komponensek VPN - protokollok • Közös tulajdonságok • Pont-pont, TCP-IP alap, „tunelling” protokollok • PPTP (Point-to-Point Tunneling Protocol) • MPPE 128-bit RC4 a titkosításra • MS-CHAPv2 a jelszó alapú hitelesítésre • PKI támogatás is > SmartCard (EAP-TLS) • Egyszerűen NAT-olható • Egyszerű, gyorsan beüzemelhető, biztonságos

  17. Windows Server 2003 komponensek VPN - protokollok • L2TP (Layer Two Tunneling Protocol) • Tanúsítvány alapú hitelesítés • IPSec ESP transzport mód • Kölcsönös hitelesítés: tanúsítvány / pre-shared key (!) • Az IPSec pl. 3DES-sel titkosít, egy automatikusan létrejövő filterrel (UDP 1701) • PKI infrastruktúra szükséges • Azaz lényegesen bonyolultabb a beüzemelése, viszont fokozottan biztonságos • NAT-Traversal

  18. Windows Server 2003 komponensek Site-to-Site VPN • Kettő vagy több hálózat összekötése • Távoli VPN kiszolgáló • Szoftver / Hardver • PPTP v. L2TP / IPSec v. IPSec • Pre-shared key! • Címkiosztás és útválasztás • IP címtartomány a távoli hálózatnak • A forgalom tipikusan a két hálózat között szükséges • A „hídfők” egyben VPN routerek is

  19. Windows Server 2003 komponensek VPN karantén • Alapesetben egy VPN kliensnek szinten mindent szabad • nincs Csoportházirend, központi virusirtó, WSUS, stb. • VPN karantén esetén (W2K3 v. ISA) • Speciális (CMAK), előre elkészített kliens oldali VPN kapcsolatot használunk • RQC.exe + a kapcsolat + a szkript • Engedélyezni és konfigurálni kell a szerveren • RQS.exe, listener • A feltételeink alapján történő kliens oldali vizsgálat eredménye lesz a döntő

  20. Windows Server 2003 komponensek VPN karantén VPN Clients Network WebServer DomainController Quarantine script Quarantine remote access policy RQC.exe ISAServer DNSServer FileServer VPN QuarantineClients Network

  21. Windows Server 2003 komponensek Connection Manager Administration Kit • Speciális eszköz, amellyel csomagolunk: 1. Előredefiniált VPN kliens beállításokat 2. Kiegészítő eszközöket (opcionálisan) • Az előkészítése eredménye egy .exe fájl • A kliensen pedig: egy testreszabott VPN kapcsolat

  22. Connection Manager Administration Kit demó

  23. Poll2

  24. Windows Server 2003 komponensek Remote Desktop • Helye • Ha több kell, mint a webes alkalmazások • Ha nem akarunk teljes hálózati elérést (VPN) • Remote Desktop Users csoporttagság • 128-bit RC4 az alapértelmezett titkosítás • RDP 6.0 • Vistában alapértelmezett • XPSP2-re és W2K03-ra letölthető (WU/MU)

  25. Windows Server 2003 komponensek Remote Desktop • RDP és RDP MMC