VPN kapcsolat kialakítása, RRAS konfigurálás, Előredefiniált VPN kliens beállítások csomagolása CMAK-tel, IIS-en keresztüli üzemeltetés

HTTPS-sel

TÁVOLI ELÉRÉS - VPN

1

VPN – protokollok
PPTP (Point-to-Point Tunneling Protocol)
Egyszerű, gyorsan beüzemelhető, biztonságos. Hitelesítés tipikusan az MS-CHAPv2 jelszó alapú szabvány szerint, de használhatók akár SmartCardok is. Adattitkosítás 128 bites RC4-es módszerrel. Nem igényel különösebb infrastruktúrát semelyik oldalon (PKI-t sem). Egyszerűen NAT-olható (pl., ha egy RRAS mögül próbálunk VPN-ezni kifelé akkor is működik). Teszt üzemmódban tökéletesen megfelel, de akár később is.
2

VPN – protokollok
L2TP (Layer Two Tunneling Protocol)
Jóval komolyabb megoldás 2 protokollból áll, az L2TP a burok nem titkosít, ezen belül IPSec. Tanúsítvány alapú hitelesítéssel dolgozik. De használható a pre-shared key módszer is (előre megosztott kulccsal hitelesíti egymást a két oldal). PKI infrastruktúra szükséges
– Azaz lényegesen bonyolultabb a beüzemelése, viszont fokozottan biztonságos

NAT-Traversal az integritásprobléma megoldására
– Egy NAT szerver a fejléces csomagjait módosítja és az IPSec ezt nem tűri, ezért UDP csomagokba rakjuk az egészet.
3

VPN karantén
VPN Clients Network Domain Controller Web Server Quarantine script Quarantine remote access policy RQC.exe RRAS Server

DNS Server

File Server

VPN Quarantine Clients Network

4

Virtuális hálózati interfész telepítése Add Hardware 5 .

stb. időbeli szigorítás. munkamenet.Routing and Remote Access Service Az RRAS képes (ma már inkább ISA): Dialup-os és VPN-es távoli elérést nyújtani Site-to-site kapcsolatok létrehozásának támogatására NAT szerverként működni LAN routerként működni A fentiek összes kombinációja Távelérési házirendek készíthetők – Üresjárat. belépési információk továbbküldése (RADIUS proxy üzemmód) VPN karantén (csak W2K3-tól) – A VPN kliensek rendszabályozásához Tartalmaz egy viszonylag egyszerű tűzfalat 6 . max. RADIUS (IAS) támogatás – Hitelesítés és házirendek központilag – RADIUS szerverek felé hitelesítési csomagok v.

konfigurálása 7 .RRAS engedélyezése.

Itt 11 belső ip cím a VPN kliensek részére. . ami az internetre van kötve Honnan kapjon a kliens ip címet: DHCP servertől v. egy speciális tartományból. a mögötte levő belső hálózat gépeivel. hogy tudjanak 8 kommunikálni a szerverrel v.VPN kliensek IP tartománya Egy olyan hálózati interfészt kell választani.

több hálózatról van szó. akkor esetlegesen szükség lehet egy Relay Agentre (továbbító ügynökre) a DHCP helyes használatához. 9 . ha pl. hogy a DHCP üzeneteket megkapják a távoli kliensek.Hitelesítés az RRAS-sal RRAS- Hitelesítés kp-i RADIUS szerverrel (MS esetén IAS): ha sok RRAS/VPN szerverrel van kapcsolatunk. Ha azt akarom. Most az RRAS-ra bízzuk a hitelesítést.

módosítás (1) 10 .RRAS tulajdonságok.

RRAS tulajdonságok. módosítás (2) 11 .

Az útválasztással kapcsolatos információk 12 .

RRASRRAShoz való hozzáférés 13 .Remote Access Policies .

Hozzáférés engedélyezés egy Windows csoport számára 14 .

A kapcsolat beállításai 15 .

Felhasználói engedély az AD-ban AD- 16 .

A kliens konfigurálása Hálózati kapcsolatok/új kapcsolat létrehozása/tovább Kapcsolódás a munkahelyem hálózatához/Virtuális magánhálózat/cég neve/RRAS server IP-je Tulajdonságok: finomabb beállítások 17 .

A kliens megjelenik a szerveren 18 .

amellyel csomagolunk: 1.Connection Manager Administration Kit Speciális eszköz. Előredefiniált VPN kliens beállításokat 2.exe fájl A kliensen pedig: egy testreszabott VPN kapcsolat (kötelezően azokkal a beállításokkal fog majd bejönni a hálózatunkba VPN kliensként. Kiegészítő eszközöket (opcionálisan) Az előkészítése eredménye egy . amit mi szeretnénk) 19 .

CMAK Windows összetevő hozzáadása 20 .

21 .

Új vagy meglévő profil módosítása 22 .

Az elkészült profil szerkeszthető Be lehet állítani sablonokat és a Configure… gombon részletesebben 23 .

szükséges-e titkosítás. melyikhez először 24 . milyen sorrendben kezdjen el csatlakozni a kliens.hitelesítés.

Tudjuk frissíteni a rout táblát 25 .

akkor eltűnik miután diszkonnektál a user. ha beállítjuk. 26 . érvényre jut ez a proxy beállítás az explorerben és.Txt-be összerakott proxy konfiguráció a felhasználóhoz.

Mi történjen a kapcsolat felépítése után és a leváláskor? 27 .

Egyéb beállítási lehetőségek Hozzáfűzhetünk a csomaghoz egyéni fájlokat pl. proxy configot 28 .

exe-t kell a klienshez eljuttatni 29 .Az .

amit elvégeztünk és meg tudja oldani az egész VPN kapcsolatot 30 .Telepítheti a felhasználó az egész beállítást.

31 .

Kapcsolódhat a kliens 32 .

A szerveren megjelenik a kliens 33 .

IIS-en keresztüli W2K3 üzemeltetés IISHTTPSHTTPS-sel https://server:8098 34 .

A kliens 35 .

admin jelszó változtatása. 36 .El lehet érni néhány beállítását a WS2003-nak a 8098-as porton https-sel Pl. stb. server neve.

Elérhető a Webszerver szinte összes fontos beállítása 37 .

Megtekinthetők pl. stb. 38 . meg lehet változtatni az IP-t a DNS-t. egy IP kapcsolat tulajdonságai: át lehet nevezni.

39 . csoportokat (AD-t nem.A helyi felhasználói adatbázisban lehet létrehozni. csak helyit). törölni felhasználókat v.

Remote Desktopot be lehet állítani.Shutdown. restart. naplófájlokat meg lehet nézni. hogy jóljön majd bizonyos esetekben 40 . Egyszer meg kell nézni. beállítani. riasztással e-mail-t küldeni. letölteni. törölni. ha van SMTP kiszolgáló. beállítani. mert lehet. feltelepíteni és ott hagyni.

Tanúsítványok kezelése FELHASZNÁLÓK HITELESÍTÉSE 41 . A kulcsmenedzsment feladatai.Alapfogalmak.

Certificate Services telepítése (1) 42 .

Certificate Services telepítése (2) 43 .

44 .

A szükséges lépések A felhasználói sablon másolása. a másolat használata az automatikus igényléséhez Vállalati hitelesítés-szolgáltató beállítása az automatikusan igényelt felhasználói tanúsítványok kiállítására Automatikus igénylési házirend beállítása a tartományi felhasználók számára 45 .Felhasználói tanúsítványok automatikus igénylésének beállítása .

Run/MMC 46 .

Felhasználói sablon másolása 47 .

A felhasználói sablon másolása. a másolat használata az automatikus igényléséhez Vállalati hitelesítés-szolgáltató beállítása az automatikusan igényelt felhasználói tanúsítványok kiállítására Automatikus igénylési házirend beállítása a tartományi felhasználók számára 48 .

49 .

a másolat használata az automatikus igényléséhez Vállalati hitelesítés-szolgáltató beállítása az automatikusan igényelt felhasználói tanúsítványok kiállítására Automatikus igénylési házirend beállítása a tartományi felhasználók számára 50 .A felhasználói sablon másolása.

Start/Run/mmc/Add/Remove Snap-in 51 .

File/Exit/Ok gpupdate 52 .

Tanúsítvány exportálása Start/Run/mmc/File/Add /Remove Snap-in 53 .

54 .

Tanúsítvány hozzárendelése felhasználói fiókhoz (1) 55 .

Tanúsítvány hozzárendelése felhasználói fiókhoz (2) 56 .

Kliens – tanúsítvány igénylés gpupdate 57 .

Kliens – tanúsítvány igénylés 58 .

Kliens – tanúsítvány igénylés 59 .

Beállítások ellenőrzése 60 .

A tanúsítvány letöltése 61 .

A tanúsítvány telepítése a kliensre 62 .

A tanúsítvány telepítése a kliensre 63 .

A tanúsítvány megtekintése 64 .

A kliens konfigurálása (1) Hálózati kapcsolatok/új kapcsolat létrehozása/tovább Kapcsolódás a munkahelyem hálózatához/Virtuális magánhálózat/cég neve/RRAS server IP-je Tulajdonságok: finomabb beállítások 65 .

66 .

RADIUS AUTENTIKÁCIÓ 67 .

Remote Authentication Dial-In DialUser Service (RADIUS) IAS RADIUSkiszolgálóként történő alkalmazása: különböző hozzáférést igénylő ügyfelek és RADIUS-proxy. 68 . Az IAS az AD tartományt használja a bejövő RADIUS Access-Request üzenetek felhasználói hitelesítő adatainak hitelesítéséhez.

ethernet kapcsolatokban ügyfelek hitelesítésére. 69 . VPN. Alkalmazhatósága: betárcsázásos.Remote Authentication Dial-In DialUser Service (RADIUS) A legnépszerűbb módszer a telefonos és bújtatott hálózati kapcsolatok felhasználóinak hitelesítésére és kapcsolatfelvételük engedélyezésére. vezeték nélküli. Nem Windows-t futtató rendszereken igen elterjedten használják a távelérésű ügyfelek hitelesítésére.

A jelszót a CHAP titkosítja a Rivest-ShamirAdleman (RSA) MD5 eljárással. a RADIUS kliens azonosítója (ID) és portcíme. 70 amíg el nem éri a kritikus ismétlésszámot. egészen addig. pl. . benne van a felhasználó neve.Remote Authentication Dial-In DialUser Service (RADIUS) A RADIUS hitelesítési eljárás: A távoli felhasználó kérést küld a szerver felé. megismétlődik a kérés egy adott várakozási idő eltelte után. a Challenge Handshake Authentication Protocol (CHAP). jelszava. A kliens összeállítja a szerver felé továbbítandó csomagot (részletes leírásuk az RFC 2866 szabványban található). Az elküldött hitelesítési információk titkosítása többféle protokollal történhet. Ha a szerver nem válaszol.

megkapja a felhasználó a bejelentkezési engedélyt. ha megfelelő jogosultsággal rendelkezik. Ellenőrzi. dekódolásra kerül a jelszó és megtörténik az ellenőrzése. stb. az elküldött felhasználói nevet megkeresi a helyi felhasználói adatbázisban. feldolgozza és érvényre juttatja a kliens kérését. 71 . hogy valóban az adott klienstől érkezett-e (a kliensen beállított digitális aláírás használata növeli a biztonságot). A RADIUS szerver fogadja.RADIUS szerverek között prioritás különbség). .Remote Authentication Dial-In DialUser Service (RADIUS) Ha nem elérhető az elsődleges szerver. harmadlagos. Ha megvan. Ha ez is rendben. Ha minden rendben van. automatikusan további kiszolgálók keresése (másodlagos.

Remote Authentication Dial-In DialUser Service (RADIUS)
Ha minden rendben van, összeállít a szerver egy csomagot, mely jelzi a bejelentkezés sikerességét, egy listát a RADIUS attribútumokról és minden szükséges adatot az adott szolgáltatás eléréséhez (IP cím, alhálózati maszk, tömörítési eljárások, csomagszűrések, stb.). Ha nem teljesül minden feltétel, a szerver szintén összeállít egy csomagot, melyben közli a klienssel a bejelentkezés elutasítását.

72

IR1IR1-SERVER

73

74

Az IAS konfigurálása

75

Az IAS konfigurálása portok ellenőrzése 76 .

Az IAS konfigurálása 77 .

Az IAS konfigurálása RRAS címe 78 .

RRAS konfigurálása IAS címe 79 .

Kliens konfigurálása (1) Hálózati kapcsolatok/új kapcsolat létrehozása/tovább Kapcsolódás a munkahelyem hálózatához/Virtuális magánhálózat/cég neve/RRAS server IP-je Tulajdonságok: finomabb beállítások 80 .

Kliens konfigurálása (2) IPSec-et is be kell állítani 81 .