Geek School Učenie systému Windows 7 - vzdialený prístup
V poslednej časti seriálu sme sa pozreli na to, ako môžete spravovať a používať počítače so systémom Windows odkiaľkoľvek, kým ste na tej istej sieti. Ale čo keď nie?
Uistite sa, že ste si pozreli predchádzajúce články v tejto sérii Geek School v systéme Windows 7:
- Predstavujeme How-To Geek School
- Aktualizácie a migrácie
- Konfigurácia zariadení
- Správa diskov
- Správa aplikácií
- Správa programu Internet Explorer
- Základy adresovania IP
- Networking
- Bezdrôtové siete
- Brána firewall systému Windows
- Vzdialená správa
A zostávajte na ladenie po zvyšok série celý tento týždeň.
Ochrana prístupu k sieti
Ochrana prístupu na sieť je pokus spoločnosti Microsoft riadiť prístup k sieťovým zdrojom na základe zdravia klienta, ktorý sa s nimi pokúša pripojiť. Napríklad v situácii, keď ste užívateľom prenosného počítača, môže byť veľa mesiacov, keď ste na ceste a nepripájate svoj laptop do vašej firemnej siete. Počas tohto obdobia neexistuje žiadna záruka, že váš počítač nebude nakazený vírusom alebo škodlivým softvérom, alebo dokonca dostanete aktualizácie definícií antivíru.
V takejto situácii sa po návrate do kancelárie a pripojení zariadenia k sieti NAP automaticky rozhodne o zdraví strojov proti politike, ktorú ste nastavili na jednom z vašich serverov NAP. Ak sa zariadenie, ktoré sa pripojilo k sieti, nepodarí vykonať zdravotnú kontrolu, automaticky prejde do super-obmedzenej časti vašej siete nazývanej sanačná zóna. Keď sa nachádzate v zóne sanácie, sanačné servery automaticky vyskúšajú a odstránia problém so zariadením. Príkladmi môžu byť:
- Ak je brána firewall zablokovaná a vaše pravidlá vyžadujú jej povolenie, sanačné servery by vám povolili firewall.
- Ak vaše zdravotné pravidlá uvádzajú, že potrebujete najnovšie aktualizácie systému Windows a nemáte, mohli by ste mať server WSUS v zóne sanačných prostriedkov, ktorý nainštaluje najnovšie aktualizácie na vášho klienta.
Váš počítač sa vráti do firemnej siete iba vtedy, ak je server NAP považovaný za zdravý. Existujú štyri rôzne spôsoby, ako môžete vynútiť NAP, z ktorých každý má svoje vlastné výhody:
- VPN - Použitie metódy presadzovania VPN je užitočné v spoločnosti, kde máte telekomunikačné spoločnosti vzdialene pracovať z domova pomocou vlastných počítačov. Nikdy si nemôžete byť istí, aký škodlivý softvér môže niekto nainštalovať do počítača, na ktorý nemáte žiadnu kontrolu. Keď použijete túto metódu, zdravie klienta bude kontrolované pri každom spustení pripojenia VPN.
- DHCP - Ak použijete metódu presadzovania DHCP, klientovi sa z vášho servera DHCP neposkytnú platné sieťové adresy, kým ich infraštruktúra NAP nebude považovaná za zdravú.
- IPsec - IPsec je spôsob šifrovania sieťovej prevádzky pomocou certifikátov. Aj keď nie je veľmi časté, môžete použiť IPsec na vynucovanie NAP.
- 802.1x - 802.1x sa tiež niekedy nazýva autentifikácia založená na portoch a je metódou overovania klientov na úrovni prepínača. Používanie technológie 802.1x na presadzovanie politiky NAP je bežnou praxou v dnešnom svete.
Dial-Up pripojenia
Z nejakého dôvodu v dnešnej dobe spoločnosť Microsoft stále chce, aby ste o týchto primitívnych dial-up pripojeniach vedeli. Telefonické pripojenia používajú analógovú telefónnu sieť, známu aj ako POTS (obyčajná telefónna služba), na prenos informácií z jedného počítača do druhého. Robia to pomocou modemu, ktorý je kombináciou slov modulovaných a demodulovaných. Modem sa pripája k počítaču, zvyčajne pomocou kábla RJ11 a moduluje digitálne informačné toky z počítača do analógového signálu, ktorý sa dá prenášať cez telefónne linky. Keď signál dosiahne svoj cieľ, demoduluje ho iným modemom a vráti sa späť do digitálneho signálu, ktorý počítač dokáže pochopiť. Ak chcete vytvoriť dial-up pripojenie, kliknite pravým tlačidlom na ikonu stavu siete a otvorte Centrum sietí a zdieľania.
Potom kliknite na položku Nastaviť nové pripojenie alebo sieťový hypertextový odkaz.
Teraz vyberte možnosť Nastaviť telefonické pripojenie a kliknite na tlačidlo Ďalej.
Tu môžete vyplniť všetky požadované informácie.
Poznámka: Ak dostanete otázku, ktorá vyžaduje, aby ste na skúške vytvorili dial-up pripojenie, poskytnú vám príslušné podrobnosti.
Virtuálne súkromné siete
Virtuálne súkromné siete sú súkromné tunely, ktoré môžete vytvoriť vo verejnej sieti, ako je internet, aby ste sa mohli bezpečne pripojiť k inej sieti.
Môžete napríklad vytvoriť pripojenie VPN z počítača vo vašej domácej sieti, do firemnej siete. Takto by sa zdalo, že počítač vo vašej domácej sieti je naozaj súčasťou vašej firemnej siete. V skutočnosti sa môžete dokonca pripojiť k sieťovým zdieľaným položkám a ak ste si napríklad vzali počítač a fyzicky ho zapojili do svojej pracovnej siete pomocou kábla Ethernet. Jediný rozdiel je samozrejme rýchlosť: namiesto toho, aby ste získali rýchlosti Gigabit Ethernetu, ak by ste boli fyzicky v kancelárii, budete obmedzený rýchlosťou vášho širokopásmového pripojenia.
Pravdepodobne sa zaujímate o to, ako bezpečne sú tieto "súkromné tunely", pretože "tunelujú" cez internet. Môže každý vidieť vaše údaje? Nie, nemôžu, a to preto, že šifrujeme údaje odosielané cez VPN pripojenie, a teda názov virtuálnej "súkromnej" siete. Protokol používaný na zapuzdrenie a šifrovanie údajov odosielaných po sieti zostáva na vás a systém Windows 7 podporuje nasledovné:
Poznámka: Bohužiaľ tieto definície budete musieť poznať zo srdca pre skúšku.
- Protokol Tunneling Point-to-Point (PPTP) - Protokol Point to Point Tunneling umožňuje sieťový prenos zapracovať do IP hlavičky a posielať cez IP sieť, ako je internet.
- zapuzdrenie: PPP rámce sú zapuzdrené v IP datagrame pomocou modifikovanej verzie GRE.
- šifrovanie: PPP rámce sú šifrované pomocou Microsoft Point-to-Point Encryption (MPPE). Počas autentizácie sa generujú šifrovacie kľúče, kde sa používajú protokoly Microsoft Challenge Handshake Authentication Protocol verzia 2 (MS-CHAP v2) alebo Protokol Extensible Authentication Protocol - Transport Layer (EAP-TLS).
- Tunelovací protokol vrstvy 2 (L2TP) - L2TP je bezpečný tunelovací protokol používaný na prepravu rámcov PPP pomocou internetového protokolu, je čiastočne založený na protokole PPTP. Na rozdiel od PPTP implementácia spoločnosti Microsoft L2TP nepoužíva MPPE na zašifrovanie rámcov PPP. Namiesto toho L2TP používa protokol IPsec v režime prenosu pre šifrovacie služby. Kombinácia L2TP a IPsec je známa ako L2TP / IPsec.
- zapuzdrenie: PPP rámce sú najskôr zabalené s hlavičkou L2TP a potom s hlavičkou UDP. Výsledok je potom zapuzdrený pomocou protokolu IPSec.
- šifrovanie: Správy L2TP sú zašifrované šifrovaním AES alebo 3DES pomocou kľúčov vygenerovaných z procesu vyjednávania IKE.
- Protokol Secure Socket Tunneling Protocol (SSTP) - SSTP je tunelovací protokol, ktorý používa protokol HTTPS. Vzhľadom na to, že TCP Port 443 je otvorený vo väčšine firemných firewally, je to skvelá voľba pre krajiny, ktoré neumožňujú tradičné pripojenia VPN. Je tiež veľmi bezpečný, pretože používa SSL certifikáty na šifrovanie.
- zapuzdrenie: PPP rámce sú zapuzdrené v IP datagramoch.
- šifrovanie: Správy SSTP sú šifrované pomocou protokolu SSL.
- Internetová výmena kľúčov (IKEv2) - IKEv2 je tunelovací protokol, ktorý používa protokol IPsec Tunnel Mode cez port UDP 500.
- zapuzdrenie: IKEv2 zapuzdruje datagramy pomocou hlavičiek IPSec ESP alebo AH.
- šifrovanie: Správy sú zašifrované šifrovaním AES alebo 3DES pomocou kľúčov vygenerovaných z procesu vyjednávania IKEv2.
Požiadavky na server
Poznámka: Zrejme máte iné operačné systémy nastavené ako VPN servery. Ide však o požiadavky na spustenie servera VPN systému Windows.
Ak chcete umožniť ľuďom vytvoriť pripojenie VPN do vašej siete, musíte mať server so systémom Windows Server a máte nainštalované nasledujúce role:
- Smerovanie a vzdialený prístup (RRAS)
- Server sieťových pravidiel (NPS)
Budete tiež musieť nastaviť DHCP alebo prideliť statický IP pool, ktorý môžu pripojiť stroje cez VPN.
Vytvorenie pripojenia VPN
Ak sa chcete pripojiť k VPN serveru, kliknite pravým tlačidlom na ikonu stavu siete a otvorte Centrum sietí a zdieľania.
Potom kliknite na položku Nastaviť nové pripojenie alebo sieťový hypertextový odkaz.
Teraz sa rozhodnite pripojiť na pracovisko a kliknite na tlačidlo Ďalej.
Potom sa rozhodnite použiť existujúce širokopásmové pripojenie.
P
Teraz budete musieť zadať názov IP alebo DNS servera VPN v sieti, ku ktorej sa chcete pripojiť. Potom kliknite na tlačidlo Ďalej.
Potom zadajte svoje používateľské meno a heslo a kliknite na tlačidlo Connect.
Po pripojení budete môcť vidieť, či ste pripojení k VPN kliknutím na ikonu stavu siete.
Domáca úloha
- Prečítajte si nasledujúci článok o službe TechNet, ktorý vás prevedie plánovaním zabezpečenia VPN.
Poznámka: Dnešné domáce úlohy sú trochu mimo rozsah skúšky 70-680, ale vám poskytnú pevné pochopenie toho, čo sa deje za scénou, keď sa pripájate k VPN z Windows 7.
Ak máte nejaké otázky, môžete ma napísať @taybgibb, alebo zanechať komentár.