Professional Documents
Culture Documents
Chapter7 - Remote Access Services - Full
Chapter7 - Remote Access Services - Full
KHÓA HỌC
Hiểu tổ chức
chương 1 Mạng và truy cập từ xa
3 4
Machine Translated by Google
Máy chủ và tài nguyên trong DMZ có thể truy cập được Các công nghệ chặng cuối phổ biến: o
Đường dây thuê bao kỹ thuật số (DSL): sử dụng mạng
từ internet (và/hoặc mạng LAN)
điện thoại. o Băng rộng cáp: sử dụng mạng cáp
(Ví dụ: web, email, DNS, FTP và máy chủ proxy.),
truyền hình. o Gigabit Passive optical Network
nhưng phần còn lại của mạng LAN nội bộ vẫn không
(GPON): sử dụng cáp quang. o Wi-Fi tầm xa: sử
thể truy cập được.
dụng vô tuyến không dây, thường sử dụng các bộ
Cung cấp thêm một lớp bảo mật cho mạng LAN vì
nó hạn chế khả năng tin tặc truy cập trực tiếp phát không dây được đặt trong tầm nhìn.
5 6
NAT thường hoạt động trên bộ định tuyến hoặc tường lửa.
IPsrc: DA SA
Riêng tư
209.165.201.1 192.168.10.10
7 số 8
Machine Translated by Google
và ngược lại để cung cấp truy cập Internet cho các máy cục
bộ.
NAT thường hoạt động trên bộ định tuyến hoặc tường lửa.
209.165.200.226 209.165.200.226
SA DA
SA DA
209.165.201.1:80 209.165.200.226:1555
192.168.10.10:1555 209.165.201.1:80
SA DA
SA DA
209.165.201.1:80 192.168.10.10:1555
209.165.200.226:1555 209.165.201.1:80
SA DA
SA DA
209.165.202.129:80 192.168.10.11:1331
209.165.200.226:1331 209.165.202.129:80
SA DA
SA DA
209.165.202.129:80 209.165.200.226:1331
192.168.10.11:1331 209.165.202.129:80
(PAT) (PAT)
11 12
Machine Translated by Google
Các thành viên của tổ chức cần kết nối với các tài nguyên được lưu trữ trên các máy Cung cấp quyền truy cập vào các tài nguyên này bằng
chủ trong DMZ từ bên ngoài tổ chức. Ví dụ: khi một giám đốc điều hành hoặc thành công nghệ truy cập từ xa. Ít nhất một máy chủ trong
viên nhóm bán hàng cần truy cập các tệp công việc trên máy chủ tệp trong tổ chức DMZ của bạn phải được cấu hình làm máy chủ truy cập
khi đi công tác. từ xa chấp nhận yêu cầu từ các máy khách truy cập
từ xa trên Internet.
13/508 14
Cung cấp quyền truy cập vào các tài nguyên này bằng Ngoài ra, các tổ chức có thể kết nối trực tiếp các
công nghệ truy cập từ xa. Ít nhất một máy chủ trong máy chủ truy cập từ xa với một ranh giới.
DMZ của bạn phải được cấu hình làm máy chủ truy cập
(1a. NAT: từ xa chấp nhận yêu cầu từ các máy khách truy cập
1.2.3.4 Máy chủ truy cập từ xa phải có hai giao diện mạng.
từ xa trên Internet.
172.16.0.50)
Một được kết nối với ranh giới.
Phải bật tường lửa (và tốt nhất là phần mềm bảo
(2) Máy chủ truy cập từ xa sau đó xác thực người dùng
mật bổ sung) để đảm bảo rằng tính bảo mật của máy
trước khi cho phép truy cập từ xa.
chủ truy cập từ xa không bị xâm phạm.
15 16
Machine Translated by Google
Bộ định tuyến NAT thường chứa các khả năng quản lý và bảo mật bổ sung, Microsoft cung cấp ba công nghệ truy cập từ xa chính có thể được sử dụng
chẳng hạn như điều tiết lưu lượng, ngăn chặn xâm nhập và lọc phần mềm độc để có được quyền truy cập vào các máy chủ trong DMZ từ khắp Internet:
hại. Thường được gọi là Tường lửa thế hệ tiếp theo (NGFW).
Mạng riêng ảo (VPN)
Mỗi công nghệ truy cập từ xa này cung cấp các giao thức riêng, cũng như
hỗ trợ các loại xác thực và mã hóa khác nhau.
Một số NGFW có chức năng máy chủ truy cập từ xa tích hợp, loại bỏ nhu cầu
về máy chủ truy cập từ xa riêng biệt.
17/508 18/508
19 20/508
Machine Translated by Google
21/508 22/508
23/508 24/508
Machine Translated by Google
An ninh: An ninh:
Bảo mật oMã hóa: Bảo mật oMã hóa:
Mã hóa bất đối xứng Mã hóa bất đối xứng
•
• Cực kỳ chậm đối với bất kỳ loại mã hóa số lượng lớn nào.
Mã hóa bất đối xứng thường được sử dụng làm Xác thực hoặc
Trao đổi khóa an toàn.
25 26
Mã hóa bất đối xứng dữ liệu oĐảm bảo rằng thông báo không bị thay đổi. Mọi thay đổi đối với
dữ liệu đang truyền sẽ được phát hiện.
27 28/508
Machine Translated by Google
29/508 30/508
31/508 32
Machine Translated by Google
Các loại VPN: VPN truy cập từ xa Các loại VPN: VPN truy cập từ xa
VPN là công nghệ truy cập từ xa cung cấp mã hóa cho dữ liệu được gửi qua VPN cung cấp một kênh (hoặc “đường hầm”) được
Internet giữa máy khách truy cập từ xa và mã hóa giữa các hệ thống trên mạng, chúng
người phục vụ.
thường được gọi là đường hầm VPN.
Một mạng “ảo” được tạo giữa máy khách và máy chủ truy cập từ xa được Mỗi đầu của đường hầm VPN được đại diện
sử dụng ngoài mạng vật lý bên dưới. oCòn được gọi là mạng lớp phủ. bởi một giao diện mạng ảo được định cấu
hình bằng một địa chỉ IP.
33/508 34
Các loại VPN: VPN truy cập từ xa Các loại VPN: VPN truy cập từ xa
Cổng mặc định được định cấu hình trong giao Theo mặc định, tất cả lưu lượng sẽ đi qua
diện mạng VPN trên máy khách truy cập từ xa máy chủ truy cập từ xa.
được tự động đặt thành 0.0.0.0 Để đảm bảo
rằng tất cả các gói do máy khách tạo ra đều
Tuy nhiên, nếu máy khách truy cập từ xa định
được mã hóa và gửi trên VPN đến máy chủ
cấu hình đường hầm phân chia, chúng sẽ có
truy cập từ xa.
thể: Truy cập DMZ trong tổ chức của
tài nguyên qua chúng
đường
hầm
VPN. Sử dụng cổng mặc định trên giao diện
Sau đó, máy chủ truy cập từ xa sẽ giải mã các mạng vật lý của họ để truy cập Internet
gói này và chuyển tiếp chúng đến mạng DMZ để
cho phép người dùng truy cập tài nguyên trong tài nguyên.
tổ chức.
35 36
Machine Translated by Google
Các loại VPN: VPN từ trang này sang trang khác Các loại VPN: VPN từ trang này sang trang khác
Máy chủ nội bộ Hầu hết các tổ chức sử dụng bộ định tuyến dựa trên phần cứng hoặc thiết bị NGFW để
không biết rằng cung cấp VPN giữa các vị trí khác nhau trong một tổ chức.
VPN đang được sử Tuy nhiên, thay vào đó, bạn có thể định cấu hình hệ thống Windows Server làm bộ định
dụng. tuyến cung cấp VPN giữa các vị trí.
37/508 38/508
Nhiều công nghệ VPN khác nhau đã được phát triển từ những năm 1990 và mỗi công nghệ sử IPsec
dụng một giao thức VPN cụ thể để tạo đường hầm cho lưu lượng truy cập. chuẩn oIETF (Internet Engineering Task Force).
bởi một nhóm các nhà cung cấp bao gồm cả Microsoft oMã hóa dữ liệu bằng cách oIPsec không bị ràng buộc với bất kỳ quy tắc cụ thể nào để bảo mật
thông tin liên lạc.
sử dụng Mã hóa điểm-điểm của Microsoft (MPPE). Hỗ trợ độ dài khóa mã hóa từ
40 đến 128 bit. Hệ điều hành Windows chứa khóa đăng ký ngăn việc sử dụng Tính linh hoạt của khuôn khổ này cho phép IPsec dễ dàng tích hợp các công
nghệ bảo mật mới mà không cần cập nhật các tiêu chuẩn IPsec hiện có .
khóa MPPE nhỏ hơn 128 bit theo mặc định.
39/508 40
Machine Translated by Google
IPsec IPsec
41
Hiệp hội bảo mật (SA). 42
oGeneric Routing Encapsulation (GRE) là một giao thức đường hầm VPN
site-to-site không an toàn .
Không hỗ trợ mã hóa.
o Nó có thể đóng gói các giao thức lớp mạng khác nhau.
43 44/508
Machine Translated by Google
oMột IPsec VPN tiêu chuẩn (không phải GRE) chỉ có thể tạo các đường hầm an toàn triển bởi Microsoft và Cisco.
cho lưu lượng
unicast. Ví dụ: Các giao thức định tuyến sẽ không trao đổi thông o Dựa vào Bảo mật IP (IPSec) để mã hóa các gói dữ liệu. Khóa
tin định tuyến qua IPsec VPN.
mã hóa có độ dài từ 56 đến 256 bit.
- Đóng gói lưu lượng giao thức định tuyến bằng gói GRE, sau đó đóng
gói gói GRE thành gói IPsec để chuyển tiếp an toàn đến cổng VPN
o Máy khách và máy chủ truy cập từ xa xác thực với nhau.
đích.
Định cấu hình cùng khóa chia sẻ trước (mật khẩu) hoặc cài đặt chứng
chỉ mã hóa IPSec trên cả máy khách và máy chủ truy cập từ xa.
45 46/508
Internet Key Exchange phiên bản 2 (IKEv2) oMột cải Giao thức đường hầm ổ cắm an toàn (SSTP)
tiến cho IPSec cung cấp đường hầm VPN với tốc độ nhanh hơn so với L2TP. oĐường hầm dữ liệu thông qua các gói HTTPS trên mạng.
oBan đầu nó sử dụng mã hóa Lớp cổng bảo mật (SSL) với
oNó sử dụng khóa mã hóa 256-bit khóa 128-bit.
oYêu cầu máy khách và máy chủ truy cập từ xa xác thực với nhau bằng chứng oViệc triển khai SSTP hiện đại sử dụng khóa 256 bit cùng với mã hóa Bảo
chỉ mã hóa IPSec hoặc khóa chia sẻ trước. mật tầng vận chuyển (TLS) . Đôi khi được thể hiện dưới dạng SSL/TLS.
Cả hai thuật ngữ thường được sử dụng thay thế cho nhau.
oĐể sử dụng SSTP, máy chủ truy cập từ xa phải chứa chứng chỉ mã hóa HTTPS.
47/508 48/508
Machine Translated by Google
Giao thức đường hầm ổ cắm an toàn (SSTP) oTLS hoạt động Trước khi có thể thiết lập đường hầm VPN, máy khách truy cập từ xa trước tiên phải xác
ở lớp 4 (OSI) thực với máy chủ truy cập từ xa bằng thông tin đăng nhập.
49/508 50
Máy chủ truy cập từ xa xác thực thông tin đăng nhập đã nhận trước khi cung cấp Sử dụng RADIUS Bạn
Truy cập từ xa.
có thể tùy ý định cấu hình
điều khiển từ xa để truy cập
thông tin xác người
thực phụcchuyển
vụ
Sau đó, máy chủ truy cập từ xa sẽ tạo đường hầm VPN, gửi vé Kerberos đến máy khách
truy cập từ xa và chuyển tiếp lưu lượng truy cập từ VPN đến DMZ để cho phép truy cập
tài nguyên.
51/508 52/508
Machine Translated by Google
Sử dụng RADIUS
Sau khi máy chủ RADIUS nhận được thông tin đăng nhập từ máy chủ truy
cập từ xa, máy chủ sẽ chuyển tiếp chúng đến bộ điều khiển miền để xác
thực. Sau khi bộ điều khiển miền xác thực thông tin đăng nhập và
quyền quay số, nó sẽ trả về vé Kerberos cho người dùng cho RADIUS
3
người phục vụ.
Sau đó, máy chủ RADIUS sẽ kiểm tra các chính sách truy cập từ xa của TRUY CẬP TRỰC TIẾP
nó để đảm bảo rằng người dùng đáp ứng các yêu cầu cần thiết trước khi
cho phép kết nối truy cập từ xa và chuyển tiếp vé Kerberos đến máy
chủ truy cập từ xa. Sau đó, máy chủ truy cập từ xa sẽ tạo đường hầm
VPN, gửi vé Kerberos đến máy khách truy cập từ xa và chuyển tiếp lưu
lượng truy cập từ VPN đến DMZ để cho phép truy cập tài nguyên.
53/508 54
Người dùng từ xa VPN phải khởi tạo kết nối VPN theo cách thủ công mỗi Để xác định xem chúng có nằm trên mạng bên ngoài tổ chức hay không, mỗi
khi họ muốn kết nối với các tài nguyên trong tổ chức của mình. máy khách truy cập từ xa tham gia DirectAccess đều chứa dịch vụ Hỗ trợ
kết nối mạng.
Đối với các tổ chức triển khai máy tính xách tay được kết nối với miền
Active Directory , quyền truy cập từ xa an toàn cho các máy tính này có Thăm dò vị trí của máy chủ bằng cách sử dụng HTTPS mỗi khi giao diện
thể được tự động hóa bằng DirectAccess. mạng của chúng được kích hoạt trên một mạng. oNếu máy khách
DirectAccess có thể kết nối với Vị trí mạng
Khi máy tính xách tay kết nối Máy chủ (NLS), nó phải nằm trong mạng công ty.
với mạng bên ngoài tổ chức,
DirectAccess sẽ tự động khởi tạo oNếu không thể, nó phải nằm ngoài mạng công ty.
đường hầm IPSec có chức năng
giống như VPN để cung cấp quyền
truy cập từ xa vào DMZ của tổ
chức.
55/508 56/508
Machine Translated by Google
Nếu máy khách truy cập từ xa xác định rằng nó nằm trên mạng bên ngoài tổ Máy chủ truy cập từ xa DirectAccess sử dụng HTTPS để xác thực người dùng với Active
chức: Directory. Sau khi người dùng nhập thông tin đăng nhập Active Directory của họ, thông
Nó tự động tạo một đường hầm IPSec tới máy chủ truy cập từ xa sau khi tin đăng nhập được lưu vào bộ đệm để sử dụng với các kết nối truy cập từ xa trong tương
nhắc người dùng đăng nhập vào miền Active Directory, nếu cần. lai.
Vì DirectAccess sử dụng cả HTTPS và IPSec nên khi định cấu hình ngoại lệ
tường lửa, chuyển tiếp cổng hoặc proxy ngược, bạn phải chỉ định số cổng
cho SSTP và L2TP/IKEv2 nếu công cụ cấu hình cho tường lửa, bộ định tuyến
NAT hoặc NGFW không cho phép bạn để chỉ định giao thức DirectAccess theo
tên.
57/508 58/508
Máy khách truy cập từ xa sử dụng IPv6 khi liên hệ với máy chủ định vị
mạng hoặc xác thực với máy chủ truy cập từ xa bằng DirectAccess. Các
gói IPv6 này sẽ tự động được đặt trong các gói IPv4 khi
được gửi qua mạng IPv4.
3 MÁY TÍNH TỪ XA
59/508 60
Machine Translated by Google
Máy tính từ xa sử dụng một phương pháp khác để đạt được quyền truy cập từ xa so Sau khi máy khách truy cập từ xa có được phiên màn hình đồ họa, họ có thể chạy
với VPN và DirectAccess. các chương trình trên máy chủ truy cập từ xa và truy cập tài nguyên trên mạng
DMZ mà máy chủ truy cập từ xa được kết nối.
Nói cách khác, Máy tính Từ xa cho phép các máy khách truy cập từ xa truy cập
Máy khách truy cập từ xa sử dụng ứng dụng Máy tính từ xa để đăng nhập vào máy
vào màn hình đồ họa đang chạy trong DMZ của tổ chức để cung cấp quyền truy cập
chủ truy cập từ xa nhằm nhận phiên máy tính để bàn đồ họa trên chính máy chủ
vào các tài nguyên của tổ chức.
truy cập từ xa (được gọi là triển khai máy tính để bàn dựa trên phiên) hoặc
phiên máy tính để bàn đồ họa từ (được
từ xa máy ảogọi
Hyper-V đangkhai
là triển chạymáy
trên máyđểchủ
tính bàntruy
dựa cập
trên máy ảo).
61/508 62/508
Ứng dụng Máy tính Từ xa sử dụng Giao thức Máy tính Từ xa (RDP) để truyền đồ họa Có các ứng dụng Máy tính Từ xa dành cho máy khách truy cập từ xa Windows,
trên máy tính, tổ hợp phím và di chuyển chuột đến và từ máy chủ truy cập từ xa. macOS, Linux, UNIX, Android và iOS.
Ứng dụng Máy tính Từ xa có sẵn theo mặc định trên hệ thống Windows được gọi
là Kết nối Máy tính Từ xa.
Các chương trình đang chạy trong phiên Máy tính Từ xa được thực thi trên máy
chủ truy cập từ xa và có thể truy cập các thư mục và máy in được chia sẻ trên
Thay vì chạy một màn hình đồ họa đầy đủ, các máy khách truy cập từ xa có thể
mạng của tổ chức cũng như các ổ đĩa và máy in được cài đặt trên máy khách truy
sử dụng RemoteApp để truy cập một chương trình duy nhất (ví dụ: Microsoft
cập từ xa bên dưới, nếu được định cấu hình.
Outlook) đang chạy trên một máy chủ truy cập từ xa bằng Remote Desktop.
Do đó, người dùng truy cập từ xa có thể sử dụng File Explorer trong phiên Máy Chương trình này cũng có thể được cấu hình để xuất hiện dưới dạng lối tắt
trên menu Bắt đầu. Khi máy khách truy cập từ xa nhấp vào phím tắt này,
tính Từ xa của họ để truyền tệp từ tổ chức sang máy tính cục bộ của họ để sử
dụng sau hoặc in tài liệu trong Microsoft Word trên máy chủ truy cập từ xa sang chương trình sẽ thực thi trên máy chủ truy cập từ xa và chuyển cửa sổ chương
máy in được cài đặt trên máy chủ của họ. máy tính cục bộ . trình, tổ hợp phím và chuyển động chuột đến và từ máy khách truy cập từ xa.
63/508 64/508
Machine Translated by Google
Các dịch vụ khả dụng cho vai trò máy chủ dịch vụ Máy tính Từ xa Các dịch vụ khả dụng cho vai trò máy chủ dịch vụ Máy tính Từ xa
65/508 66/508
Nếu bạn triển khai nhiều Máy chủ phiên máy tính từ xa hoặc Máy tính từ xa Nhiều quản trị viên máy chủ cài đặt Nhà môi giới kết nối máy tính từ xa khi
Ảo hóa Lưu trữ các máy chủ truy cập từ xa trong DMZ của bạn, sau đó bạn có chỉ có một máy chủ truy cập từ xa có chứa dịch vụ vai trò Máy chủ phiên máy
thể cài đặt một máy chủ duy nhất chứa Kết nối Máy tính Từ xa tính từ xa hoặc Máy chủ lưu trữ ảo hóa máy tính từ xa.
Nhà môi giới để phân phối các yêu cầu RDP trên tất cả các quyền truy cập từ xa
may chu .
Nếu các máy chủ bổ sung được cài đặt với dịch vụ vai trò Máy chủ phiên máy
Trong trường hợp này, máy khách truy cập từ xa sẽ kết nối với máy chủ Remote tính từ xa hoặc Máy chủ lưu trữ ảo hóa máy tính từ xa sau đó, chúng sẽ tự
Desktop Connection Broker. Hơn nữa, máy chủ lưu trữ Nhà môi giới kết nối máy động được liên kết với Nhà môi giới kết nối máy tính từ xa và không cần cấu
tính từ xa cũng có thể lưu trữ các dịch vụ vai trò Cấp phép máy tính từ xa, hình tường lửa, chuyển tiếp cổng hoặc proxy ngược bổ sung.
Truy cập web trên máy tính từ xa và Cổng máy tính từ xa để cung cấp mã hóa
cấp phép, RemoteApp và HTTPS cho tất cả các máy chủ truy cập từ xa trong DMZ.
67/508 68/508
Machine Translated by Google