Geek Школа Навчання Windows 7 - Віддалений доступ
У останній частині серії ми розглянули, як можна керувати комп'ютерами з ОС Windows і використовувати їх з будь-якої точки світу, якщо ви перебуваєте в одній мережі. Але що, якщо ви не є?
Обов'язково ознайомтеся з попередніми статтями цієї серії Geek School на Windows 7:
- Введення How-To Geek школи
- Оновлення та міграції
- Налаштування пристроїв
- Керування дисками
- Керування програмами
- Керування Internet Explorer
- Основи IP-адресації
- Мережа
- Бездротові мережі
- Брандмауер Windows
- Віддалене адміністрування
Та залишаються настроєні для решти серії весь цей тиждень.
Захист доступу до мережі
Захист доступу до мережі - це спроба Microsoft контролювати доступ до мережевих ресурсів на основі здоров'я клієнта, який намагається підключитися до них. Наприклад, у випадку, коли ви користуєтесь ноутбуком, може бути багато місяців, коли ви знаходитесь на дорозі, і не підключаєте ноутбук до корпоративної мережі. За цей час немає гарантії, що ваш ноутбук не заразиться вірусом або шкідливим програмним забезпеченням, або що ви навіть отримуєте оновлення антивірусних визначень.
У цій ситуації, коли ви повернетеся в офіс і підключите машину до мережі, NAP автоматично визначатиме стан здоров'я машин щодо політики, яку ви встановили на одному з ваших серверів NAP. Якщо пристрій, під’єднаний до мережі, не пройшов перевірку стану здоров'я, він автоматично переміститься до секції з обмеженим доступом, що називається зоною відновлення. У зоні виправлення сервери виправлення автоматично спробують виправити проблему з вашим комп'ютером. Прикладами можуть бути:
- Якщо брандмауер вимкнено, а ваша політика вимагає, щоб воно було увімкнено, сервери виправлення ввімкнули брандмауер.
- Якщо у вашій політиці з охорони здоров'я вказано, що потрібно мати останні оновлення для Windows, а ви цього не зробите, у вашій зоні виправлення може бути сервер WSUS, який інсталює останні оновлення вашого клієнта.
Машина повернеться лише до корпоративної мережі, якщо ваші NAP-сервери вважатимуть її здоровою. Є чотири різні способи застосування NAP, кожен з яких має свої переваги:
- VPN - Використання методу виконання VPN корисно в компанії, де ви маєте віддалено працювати від дому, використовуючи власні комп'ютери. Ви ніколи не можете бути впевнені в тому, що хтось може встановити зловмисне програмне забезпечення на ПК, над яким ви не маєте контролю. При використанні цього методу здоров'я кожного клієнта буде перевірятись при кожному підключенні до VPN.
- DHCP - Коли ви використовуєте метод застосування DHCP, клієнту не буде видано дійсних мережних адрес від вашого DHCP-сервера доти, доки їх інфраструктура NAP не вважатиметься здоровою..
- IPsec - IPsec - це спосіб шифрування мережевого трафіку за допомогою сертифікатів. Хоча це і не дуже поширене, ви також можете використовувати IPsec для забезпечення виконання NAP.
- 802.1x - 802.1x також іноді називається порт-аутентифікація і є методом аутентифікації клієнтів на рівні комутатора. Використання 802.1x для забезпечення політики NAP є стандартною практикою в сучасному світі.
Dial-Up Connections
З певних причин у наш час Microsoft все ще хоче, щоб ви знали про ті примітивні комутовані з'єднання. Dial-up з'єднання використовують аналогову телефонну мережу, також відому як POTS (Plain Old Telephone Service), щоб доставити інформацію з одного комп'ютера на інший. Вони роблять це за допомогою модему, який являє собою комбінацію слів, що модулюють і демодулюють. Модем підключається до комп'ютера, зазвичай за допомогою кабелю RJ11, і модулює цифрові інформаційні потоки з комп'ютера в аналоговий сигнал, який можна передавати по телефонних лініях. Коли сигнал досягає свого призначення, він демодулюється іншим модемом і повертається назад у цифровий сигнал, який може зрозуміти комп'ютер. Щоб створити комутований зв'язок, клацніть правою кнопкою миші на значку стану мережі та відкрийте Центр мереж і спільного доступу.
Потім натисніть кнопку Налаштувати нове підключення або мережу гіперпосилання.
Тепер виберіть Налаштувати комутоване з'єднання та натисніть кнопку Далі.
Тут ви можете заповнити всю необхідну інформацію.
Примітка. Якщо ви отримаєте запитання, яке вимагає встановлення комутованого з'єднання на іспиті, вони нададуть відповідні деталі.
Віртуальні приватні мережі
Віртуальні приватні мережі - це приватні тунелі, які можна встановити через загальнодоступну мережу, таку як Інтернет, щоб можна було безпечно підключатися до іншої мережі.
Наприклад, можна встановити VPN-з'єднання з ПК у домашній мережі до корпоративної мережі. Таким чином, здається, що комп'ютер у вашій домашній мережі дійсно є частиною вашої корпоративної мережі. Фактично, ви навіть можете підключитися до мережних ресурсів і, наприклад, якщо б ви взяли комп'ютер і фізично підключили його до робочої мережі за допомогою кабелю Ethernet. Єдина різниця полягає в швидкості курсу: замість швидкості Gigabit Ethernet, яку ви отримували б, якщо б ви фізично перебували в офісі, ви будете обмежені швидкістю широкосмугового з'єднання.
Ви, напевно, задаєтеся питанням, наскільки безпечними є ці «приватні тунелі», оскільки вони «тунелюють» через Інтернет. Чи може кожен бачити ваші дані? Ні, вони не можуть, і це тому, що ми шифруємо дані, надіслані через VPN-з'єднання, звідси і назва віртуальної «приватної» мережі. Протокол, який використовується для інкапсуляції та шифрування даних, надісланих через мережу, залишається за вами, а Windows 7 підтримує наступне:
Примітка: На жаль, ці визначення потрібно знати напам'ять для іспиту.
- Протокол тунелювання від точки до точки (PPTP) - Протокол туннелювання від точки до точки дозволяє інкапсулювати мережевий трафік в IP-заголовок і надсилати його через IP-мережу, таку як Інтернет.
- Інкапсуляція: Кадри PPP інкапсулюються в дейтаграмі IP, використовуючи модифіковану версію GRE.
- Шифрування: Рамки PPP шифруються за допомогою Microsoft Point-to-Point Encryption (MPPE). Ключі шифрування генеруються під час перевірки автентичності, коли використовуються протоколи перевірки автентичності Microsoft Challenge версії 2 (MS-CHAP v2) або протоколи розширеного протоколу автентифікації-транспортного шару (EAP-TLS)..
- Протокол тунелю 2 рівня (L2TP) - L2TP - це безпечний протокол тунелювання, який використовується для транспортування кадрів PPP за допомогою Інтернет-протоколу, частково на основі PPTP. На відміну від PPTP, реалізація L2TP Microsoft не використовує MPPE для шифрування кадрів PPP. Замість цього L2TP використовує протокол IPsec у транспортному режимі для послуг шифрування. Поєднання L2TP і IPsec відоме як L2TP / IPsec.
- Інкапсуляція: Рамки PPP спочатку обгортаються заголовком L2TP, а потім заголовком UDP. Потім результат інкапсулюється за допомогою IPSec.
- Шифрування: Повідомлення L2TP шифруються за допомогою шифрування AES або 3DES за допомогою ключів, що генеруються з процесу узгодження IKE.
- Протокол безпечного тунелювання (SSTP) - SSTP - це протокол тунелювання, який використовує HTTPS. Оскільки TCP-порт 443 відкритий для більшості корпоративних брандмауерів, це відмінний вибір для тих країн, які не допускають традиційних VPN-з'єднань. Це також дуже безпечно, оскільки використовує SSL-сертифікати для шифрування.
- Інкапсуляція: Рамки PPP інкапсульовані в дейтаграми IP.
- Шифрування: Повідомлення SSTP шифруються за допомогою SSL.
- Обмін ключами Інтернету (IKEv2) - IKEv2 - це протокол тунелювання, який використовує протокол IPsec Tunnel Mode через порт UDP 500.
- Інкапсуляція: IKEv2 інкапсулює дейтаграми за допомогою заголовків IPSec ESP або AH.
- Шифрування: Повідомлення шифруються за допомогою шифрування AES або 3DES за допомогою ключів, створених з процесу узгодження IKEv2.
Вимоги до сервера
Примітка: Ви, очевидно, можете встановити інші операційні системи для VPN-серверів. Однак, це вимоги для запуску сервера VPN Windows.
Для того, щоб дозволити користувачам створювати VPN-підключення до вашої мережі, потрібно мати сервер під керуванням Windows Server і встановити такі ролі:
- Маршрутизація та віддалений доступ (RRAS)
- Сервер політики мережі (NPS)
Вам також потрібно буде налаштувати DHCP або виділити статичний пул IP, який можуть використовувати машини, підключені через VPN.
Створення з'єднання VPN
Щоб підключитися до сервера VPN, клацніть правою кнопкою миші на значку стану мережі та відкрийте Центр мереж і спільного доступу.
Потім натисніть кнопку Налаштувати нове підключення або мережу гіперпосилання.
Тепер виберіть підключення до робочого місця та натисніть кнопку Далі.
Потім виберіть використання існуючого широкосмугового з'єднання.
P
Тепер вам потрібно буде ввести IP або DNS-ім'я VPN-сервера в мережі, до якої потрібно підключитися. Потім натисніть кнопку Далі.
Потім введіть ім'я користувача та пароль і натисніть кнопку підключити.
Після підключення ви зможете побачити, чи підключено до VPN, натиснувши піктограму стану мережі.
Домашнє завдання
- Прочитайте наступну статтю на веб-сайті TechNet, яка допоможе визначити безпеку VPN.
Примітка: Сьогоднішня домашня робота трохи виходить за рамки 70-680 іспиту, але вона дасть вам глибоке розуміння того, що відбувається за сценою при підключенні до VPN з Windows 7.
Якщо у вас є які-небудь питання, ви можете твітти мене @taybgibb, або просто залишити коментар.