If-Koubou

Geek School: Nauka Windows 7 - Zdalny dostęp

Geek School: Nauka Windows 7 - Zdalny dostęp (Jak)

W ostatniej części serii przyjrzeliśmy się, w jaki sposób możesz zarządzać i korzystać z komputerów z systemem Windows z dowolnego miejsca, o ile jesteś w tej samej sieci. Ale co, jeśli nie jesteś?

Koniecznie zapoznaj się z poprzednimi artykułami z tej serii Geek School na Windows 7:

  • Przedstawiamy szkołę "How-To Geek"
  • Aktualizacje i migracje
  • Konfigurowanie urządzeń
  • Zarządzanie dyskami
  • Zarządzanie aplikacjami
  • Zarządzanie programem Internet Explorer
  • Podstawy adresowania IP
  • Networking
  • Sieć bezprzewodowa
  • zapora systemu Windows
  • Administracja zdalna

I pozostańcie czujni przez resztę serii przez cały ten tydzień.

Ochrona dostępu do sieci

Ochrona dostępu do sieci to próba Microsoftu kontrolowania dostępu do zasobów sieciowych w oparciu o stan zdrowia klienta, który próbuje się z nim połączyć. Na przykład w sytuacji, gdy jesteś użytkownikiem laptopa, może upłynąć wiele miesięcy, kiedy jesteś w drodze i nie podłączasz laptopa do sieci firmowej. W tym czasie nie ma gwarancji, że Twój laptop nie zostanie zainfekowany wirusem lub złośliwym oprogramowaniem, ani że otrzymasz nawet aktualizacje definicji antywirusowych.

W tej sytuacji, po powrocie do biura i podłączeniu urządzenia do sieci, NAP automatycznie określi stan urządzeń na podstawie zasad skonfigurowanych na jednym z serwerów ochrony dostępu do sieci. Jeśli urządzenie, które połączyło się z siecią, nie przejdzie inspekcji sanitarnej, automatycznie zostanie przeniesione do super-ograniczonej sekcji sieci zwanej strefą remediacji. W strefie naprawiania serwery naprawcze automatycznie spróbują rozwiązać problem z urządzeniem. Niektóre przykłady mogą być:

  • Jeśli zapora jest wyłączona, a zasady wymagają jej włączenia, serwery naprawcze będą mogły włączyć zaporę sieciową.
  • Jeśli w Twojej polityce dotyczącej kondycji jest napisane, że musisz mieć najnowsze aktualizacje systemu Windows, a nie, możesz mieć serwer WSUS w strefie naprawczej, który zainstaluje najnowsze aktualizacje na kliencie.

Twój komputer zostanie przeniesiony z powrotem do sieci korporacyjnej, jeśli serwer NAP uzna to za zdrowe. Istnieją cztery różne sposoby egzekwowania ochrony dostępu do sieci, z których każdy ma swoje zalety:

  • VPN - Używanie metody wymuszania VPN jest przydatne w firmie, w której zdalnie pracują zdalni pracownicy domowi, używając własnych komputerów. Nigdy nie możesz być pewien, jakie złośliwe oprogramowanie może zainstalować ktoś na komputerze, nad którym nie masz kontroli. Gdy użyjesz tej metody, stan zdrowia klienta będzie sprawdzany za każdym razem, gdy zainicjuje połączenie VPN.
  • DHCP - Podczas korzystania z metody wymuszania DHCP klient nie otrzyma prawidłowych adresów sieciowych z serwera DHCP, dopóki nie zostaną one uznane za zdrowe przez infrastrukturę NAP.
  • IPsec - IPsec to metoda szyfrowania ruchu sieciowego za pomocą certyfikatów. Chociaż nie jest to zbyt częste, możesz również użyć protokołu IPsec do wymuszania ochrony dostępu do sieci.
  • 802.1x - 802.1x jest czasem nazywany uwierzytelnianiem na podstawie portu i jest metodą uwierzytelniania klientów na poziomie przełącznika. Korzystanie z protokołu 802.1x w celu egzekwowania zasad ochrony dostępu do sieci jest standardową praktyką we współczesnym świecie.

Połączenia telefoniczne

Z jakiegoś powodu w dzisiejszych czasach Microsoft nadal chce, abyś wiedział o tych prymitywnych połączeniach telefonicznych. Połączenia telefoniczne używają analogowej sieci telefonicznej, znanej również jako POTS (zwykła stara usługa telefoniczna), w celu dostarczania informacji z jednego komputera na drugi. Robią to za pomocą modemu, który jest kombinacją słów modulujących i demodulujących. Modem jest podłączony do komputera, zwykle za pomocą kabla RJ11, i moduluje cyfrowe strumienie informacji z komputera do sygnału analogowego, który może być przesyłany przez linie telefoniczne. Kiedy sygnał dociera do celu, jest demodulowany przez inny modem i zamieniany z powrotem w sygnał cyfrowy, który komputer może zrozumieć. Aby utworzyć połączenie dial-up, kliknij prawym przyciskiem myszy ikonę stanu sieci i otwórz Centrum sieci i udostępniania.

Następnie kliknij łącze Skonfiguruj nowe połączenie lub sieciowe.

Teraz wybierz Skonfiguruj połączenie dial-up i kliknij Dalej.

Stąd możesz wypełnić wszystkie wymagane informacje.

Uwaga: jeśli pojawi się pytanie wymagające skonfigurowania połączenia dial-up na egzaminie, dostarczy ono odpowiednie informacje.

Wirtualne sieci prywatne

Wirtualne sieci prywatne to prywatne tunele, które można ustanowić za pośrednictwem sieci publicznej, takiej jak Internet, aby można było bezpiecznie łączyć się z inną siecią.

Na przykład możesz ustanowić połączenie VPN z komputera w sieci domowej, z siecią firmową. W ten sposób wyglądałoby tak, jakby komputer w sieci domowej był częścią twojej sieci firmowej. W rzeczywistości można nawet połączyć się z udziałami sieciowymi, na przykład po zabraniu komputera i fizycznym podłączeniu go do sieci roboczej za pomocą kabla Ethernet. Jedyną różnicą jest oczywiście szybkość: zamiast prędkości Gigabit Ethernet, które miałbyś, gdybyś był fizycznie w biurze, będziesz ograniczony szybkością połączenia szerokopasmowego.

Prawdopodobnie zastanawiasz się, jak bezpieczne są te "prywatne tunele", ponieważ "tunelują" przez Internet. Czy każdy może zobaczyć twoje dane? Nie, nie mogą, a to dlatego, że szyfrujemy dane przesyłane przez połączenie VPN, stąd nazwa wirtualna "prywatna" sieć. Protokół używany do enkapsulacji i szyfrowania danych przesyłanych przez sieć należy do ciebie, a system Windows 7 obsługuje następujące elementy:

Uwaga: Niestety, te definicje musisz znać na pamięć podczas egzaminu.

  • Protokół tunelowania typu "point-to-point" (PPTP) - Protokół Tunelowania Point to Point pozwala, aby ruch sieciowy był enkapsulowany do nagłówka IP i wysyłany przez sieć IP, taką jak Internet.
    • Kapsułkowanie: Ramki PPP są enkapsulowane w datagramie IP, używając zmodyfikowanej wersji GRE.
    • Szyfrowanie: Ramki PPP są szyfrowane przy użyciu Microsoft Point-to-Point Encryption (MPPE). Klucze szyfrowania są generowane podczas uwierzytelniania, w których używane są protokoły Microsoft Challenge Handshake Authentication Protocol wersja 2 (MS-CHAP v2) lub protokół Extensible Authentication Protocol - Transport Layer Security (EAP-TLS).
  • Protokół tunelowania warstwy 2 (L2TP) - L2TP jest bezpiecznym protokołem tunelowania stosowanym do transportu ramek PPP przy użyciu protokołu internetowego, częściowo opiera się na protokole PPTP. W przeciwieństwie do PPTP, implementacja L2TP przez Microsoft nie używa MPPE do szyfrowania ramek PPP. Zamiast tego L2TP używa IPsec w trybie transportu dla usług szyfrowania. Połączenie L2TP i IPsec jest znane jako L2TP / IPsec.
    • Kapsułkowanie: Ramki PPP są najpierw opakowane nagłówkiem L2TP, a następnie nagłówkiem UDP. Wynik jest następnie enkapsulowany przy użyciu IPSec.
    • Szyfrowanie: Wiadomości L2TP są szyfrowane za pomocą szyfrowania AES lub 3DES za pomocą kluczy wygenerowanych w procesie negocjacji IKE.
  • Protokół Secure Socket Tunneling Protocol (SSTP) - SSTP to protokół tunelowania wykorzystujący protokół HTTPS. Ponieważ port TCP 443 jest otwarty w większości korporacyjnych zapór ogniowych, jest to doskonały wybór dla krajów, które nie zezwalają na tradycyjne połączenia VPN. Jest również bardzo bezpieczny, ponieważ do szyfrowania używa certyfikatów SSL.
    • Kapsułkowanie: Ramki PPP są enkapsulowane w datagramach IP.
    • Szyfrowanie: Komunikaty SSTP są szyfrowane przy użyciu protokołu SSL.
  • Internet Key Exchange (IKEv2) - IKEv2 to protokół tunelowania wykorzystujący protokół trybu tunelowego IPsec na porcie UDP 500.
    • Kapsułkowanie: IKEv2 hermetyzuje datagramy przy użyciu nagłówków IPSec ESP lub AH.
    • Szyfrowanie: Wiadomości są szyfrowane za pomocą szyfrowania AES lub 3DES za pomocą kluczy wygenerowanych w procesie negocjacji IKEv2.

Wymagania serwera

Uwaga: Oczywiście można ustawić inne systemy operacyjne jako serwery VPN. Są to jednak wymagania, aby uruchomić serwer Windows VPN.

Aby umożliwić użytkownikom tworzenie połączeń VPN z siecią, musisz mieć serwer z systemem Windows Server i mieć zainstalowane następujące role:

  • Routing i dostęp zdalny (RRAS)
  • Serwer zasad sieciowych (NPS)

Konieczne będzie również skonfigurowanie DHCP lub przydzielenie statycznej puli IP, z której mogą korzystać maszyny łączące się za pośrednictwem sieci VPN.

Tworzenie połączenia VPN

Aby połączyć się z serwerem VPN, kliknij prawym przyciskiem myszy ikonę stanu sieci i otwórz Centrum sieci i udostępniania.

Następnie kliknij łącze Skonfiguruj nowe połączenie lub sieciowe.

Teraz wybierz połączenie z miejscem pracy i kliknij dalej.

Następnie wybierz, aby użyć istniejącego połączenia szerokopasmowego.

P

Teraz musisz wprowadzić adres IP lub nazwę DNS serwera VPN w sieci, z którą chcesz się połączyć. Następnie kliknij next.

Następnie wprowadź swoją nazwę użytkownika i hasło, a następnie kliknij przycisk Połącz.

Po nawiązaniu połączenia będziesz mógł zobaczyć, czy jesteś połączony z VPN, klikając ikonę stanu sieci.

Zadanie domowe

  • Przeczytaj następujący artykuł o TechNet, który poprowadzi cię przez planowanie bezpieczeństwa VPN.

Uwaga: Dzisiejsza praca domowa jest trochę poza zakresem egzaminu 70-680, ale da ci solidne zrozumienie tego, co dzieje się za sceną, kiedy łączysz się z VPN z Windows 7.

Jeśli masz jakieś pytania, możesz tweetować mnie @taybgibb, lub po prostu zostawić komentarz.

Najpopularniejsze artykuły
Geek School: Nauka Windows 7 - Monitorowanie, wydajność i utrzymywanie Windows do tej pory
Jak
Geek School: Nauka Windows 7 - Dostęp do zasobów
Jak
Geek School: Nauka Windows 7 - Aktualizacje i migracje
Jak