Jarosław Kuchta Dostęp zdalny
Zagadnienia Infrastruktura VPN Protokoły VPN Scenariusz zastosowania wirtualnej sieci prywatnej Menedżer połączeń Dostęp zdalny 2
Infrastruktura VPN w WS 2008 Klient VPN Windows NT 4.0, Windows 2000 Windows 9x Windows XP, Vista Serwer RRAS Routing and Remote Access Server Serwer zasad sieciowych NPS (Network Policy Server) Usługi zasad sieciowych i dostępu sieciowego Serwer zasad sieciowych Serwer certyfikatów Usługi certyfikatów w Active Directory Urząd certyfikacji Rejestrowanie w sieci Web Serwer sieci Web (IIS) Usługi plików Serwer Active Directory Usługi domenowe w Active Directory Dostęp zdalny 3
Opcje uwierzytelnienia w systemie RRAS PAP (Password Authentication Protocol) CHAP (Challenge-Handshake Authentication Protocol) MS-CHAP (Microsoft Challenge-Handshake Authentication Protocol) MS-CHAP v.2 zapewnia dwustronne uwierzytelnienie w oparciu o hasła zaleca się stosowanie haseł trudnych do złamania EAP (Extensible Authentication Protocol) uwierzytelnienie w oparciu o certyfikaty PEAP (Protected Extensible Authentication Protocol) tworzy zaszyfrowany kanał dla potrzeb uwierzytelnienia Dostęp zdalny 4
Protokoły VPN PPTP L2TP L2TP+IPSec SSTP Dostęp zdalny 5
Point-to-Point Tunneling Protocol (PPTP) ramka PPP część zaszyfrowana IP GRE PPP Dane PPP GRE (Generic Routing Encapsulation) do hermetyzacji ramek PPP Dostęp zdalny 6
Layer 2 Tunneling Protocol (L2TP) komunikat UDP ramka L2TP ramka PPP IP UDP L2TP PPP Dane PPP Dostęp zdalny 7
L2TP+IPSec komunikat UDP ramka L2TP ramka PPP dane szyfrowane IP IPSec ESP UDP L2TP PPP Dane PPP Zakończenie IPSec ESP Zakończenie IPSec ESP (Encapsulation Security Payload) uwierzytelnienie, szyfrowanie, spójność danych Dostęp zdalny 8
Secure Socket Tunneling Protocol ramka PPP część zaszyfrowana przez SSL IP TCP SSTP PPP Dane PPP HTTPS = HTTP + SSL Dostęp zdalny 9
Porównanie protokołów VPN PPTP L2TP/IPSec SSTP Sposób tunelowania GRE L2TP na UDP SSTP na TCP Protokół utrzymujący tunel PPTP L2TP SSTP Szyfrowanie MPPE z RC4 3DES lub AES SSL z RC4 lub AES Uwierzytelnienie przed szyfrowaniem po utworzeniu sesji IPSec Wymagane certyfikaty brak klienta i serwera Klient min. Windows 9x Dostęp zdalny min. Windows 2000 po utworzeniu sesji SSL serwera (komputera) i CA klienta min. Windows XP SP3, Vista SP1, WS 2008 10
Reguły zapory serwera RRAS dla PPTP Kierunek Protokół Port Zastosowanie IN TCP 1723 IN IP 47 OUT TCP 1723 OUT IP 47 Ruch sieciowy utrzymujący tunel od klienta do serwera Dane tunelowane od klienta do serwera Ruch sieciowy utrzymujący tunel od serwera do klienta Dane tunelowane od serwera do klienta Dostęp zdalny 11
Reguły zapory serwera RRAS dla L2TP Kierunek Protokół Port Zastosowanie IN UDP 500 Ruch sieciowy IKE od klienta do serwera IN UDP 4500 IN IP 50 Ruch sieciowy IPSec NAT od klienta do serwera Ruch sieciowy IPSec ESP od klienta do serwera OUT UDP 500 Ruch sieciowy IKE od serwera do klienta OUT UDP 4500 OUT IP 50 Ruch sieciowy IPSec NAT od serwera do klienta Ruch sieciowy IPSec ESP od serwera do klienta Dostęp zdalny 12
Reguły zapory serwera RRAS dla SSTP Kierunek Protokół Port Zastosowanie IN TCP 443 Ruch sieciowy skierowany do serwera RRAS Dostęp zdalny 13
Konfiguracja sieci VPN (1) mojafirma.com.pl Internet klient VPN 192.168.1.100 DC1 kontroler domeny 192.168.1.101 192.168.1.102 RRAS1 serwer VPN 192.168.0.201 NPS1 serwer zasad sieciowych + serwer certyfikatów Dostęp zdalny 14
Konfiguracja sieci VPN (2) Instalowanie serwera certyfikatów Instalowanie serwera zasad sieciowych Certyfikowanie serwera NPS Konfigurowanie serwera zasad sieciowych Przygotowanie serwera RRAS Przygotowanie klienta VPN Testowanie połączenia VPN Nadzorowanie klientów VPN będących w złym stanie Dostęp zdalny 15
Instalowanie serwera certyfikatów Dostęp zdalny 16
Instalowanie usługi Rejestrowanie w sieci Web dla urzędu certyfikacji Dostęp zdalny 17
Instalowanie brakujących składników IIS Dostęp zdalny 18
Certyfikacja serwera NPS Żądanie certyfikatu dla serwera NPS Utworzenie certyfikatu na żądanie Instalowanie certyfikatu na serwerze NPS Dostęp zdalny 19
Żądanie certyfikatu dla serwera NPS Podczas instalacji serwera certyfikatów utwórz główny autonomiczny urząd certyfikacji Na serwerze NPS uruchom przeglądarkę internetową Wpisz adres http://nps1.mojafirma.com.pl/certsrv Utwórz żądanie certyfikatu Prześlij żądanie do głównego autonomicznego urzędu certyfikacji Dostęp zdalny 20
Utworzenie certyfikatu na żądanie 1. Na serwerze certyfikatów otwórz przystawkę MMC Urząd certyfikacji. 2. Rozwiń nazwę urzędu certyfikacji i znajdź żądanie oczekujące 3. Prawym przyciskiem myszy kliknij żądanie i z menu wybierz Wszystkie zadania - Wystaw Dostęp zdalny 21
Instalowanie certyfikatu na serwerze NPS 1. Na serwerze NPS ponownie uruchom przeglądarkę internetową. 2. Wpisz adres http://nps1.mojafirma.com.pl/certsrv 3. Wybierz pozycję Pokaż stan oczekującego żądania dotyczącego certyfikatu. 4. Kliknij żądanie certyfikatu. 5. Kliknij zainstaluj ten certyfikat. Dostęp zdalny 22
Konfigurowanie serwera zasad sieciowych konfigurowanie weryfikatora stanu ustawienie zasady dotyczącej stanu ustawienie zasady sieciowej ustawienie zasad dotyczących żądania połączenia konfigurowanie klienta RADIUSA Dostęp zdalny 23
Przygotowanie serwera RRAS Certyfikowanie serwera RRAS Dodanie usługi roli Usługi Routing i dostęp zdalny Dostęp zdalny 24
Konfigurowanie klienta VPN uaktywnienie centrum zabezpieczeń włączenie agenta stanu systemu SHA skonfigurowanie relacji zaufania opartych o certyfikaty skonfigurowanie połączenia VPN Dostęp zdalny 25
Testowanie połączenia VPN Otwórz połączenie VPN ping dziennik zdarzeń Dostęp zdalny 26