Week 5 VPN v20_21v01.pptx

Full Transcript

Enterprice ICT Platforms

Week 5
VPN
Windows 2016 en Windows 10 Education

Documentatie en informatie:
n
n

n

n

Boek: Windows server 2016 unleashed
Chapter 14: Network Policy and Access Services, RRAS en DA.
(Blz.483-490)
n Niet de onderdelen over Direct Access (DA).
Chapter 22:Server-to-Client Remote and Mobile Access (blz.801849).
n Niet de onderdelen over DA!
Videos:
n

..

Chapter 14
Network Policy and Access Services, Routing and Remote Access and
DirectAccess

Beveiligde verbindingen Windows
n

VPN:
n
n

n

DirectAccess:
n

n
n

PPTP, SSTP (TCP 443), L2TP, IKv2 (VPN Reconnect);
Met certificaten en/of Pre-Shared key’s (laatste minder veilig!)
Geen onderdeel meer van practicum- en theorietentamen;

Always-On VPN;
Services:
n
n

Routing and Remote Acces Service (RRAS);
Network Policy and Access Service;
n

n

Sinds Server 2008 afzonderlijke services.

Radius.

VPN:
n

Twee varianten:
n
n

Point-To-Point: tussen VPN-Client en een VPN-Server;
Site-to-site: tussen twee VPN-Servers/routers;

Supported OS
n
n

Niet alle functionaliteiten zijn in elk Windows OS beschikbaar:
Voor de meeste functionaliteiten:
n
n
n
n

2016 (en eerder);
Windows 7, 8 en 10 Enterprise;
Windows 7 Ultimate;
Windows 10 Education;

Network Policy Server
n

Blokkeren of toestaan van
gebruikers op basis van o.a.:
n
n
n
n
n

n

Groepen;
Tijd;
Gebruikersaccount;
IP-instelligen;
….

RADIUS Service van Microsoft.
n

Authenticatie via AD.

Exploring VPN Tunnels
n

Veilige verbinding over een ‘onveilig’ netwerk als het internet;
n
n

n

Vrijwillige door een gebruiker;
Software die automatisch start.

Werking van VPN op:
n
n

OSI-laag 2 tot 7:
Bekende varianten:
n

n
n

PPTP, L2TP/Ipsec, SSTP, Ikve2,…

PPTP en L2TP zijn Point-to-point (PPP) based,
PPP heeft ondersteuning voor o.a.:
n

User authenticatie, data compressie, encryptie, token en kaart
support
https://www.researchgate.net/figure/OSI-model-for-VPN-used-protocols_fig1_255670535

L2TP/IPSec Secure Protocol
n

L2TP met extra veiligheid (encryptie) door het gebruik van IPSec:
n
n
n

n

Voordelen L2TP/IPSec:
n

n
n

n

IPSec: Laag 3 encryptie protocol;
Header en trailer encryptie, normaal clear tekst.
Dual encrypting payload.
Data authenticatie op ‘packet’ niveau waardoor de data niet kan
worden aangepast (confidentiality);
Dual-athentication: User en Computer-level authenticatie mogelijk;
Onderschepte L2TP packets tijdens de initiele user-level
authenticatie kunnen door IPSec niet ‘offline’ worden ontsleuteld.

Ipsec levert regelmatig problemen op met NAT!

Enabling VPN on Remote-access Server
n

Types:
n

n

n

n

n
n

VPN gateway voor clients: VPN voor toegang
tot het netwerk;
Site-to-site VPN: VPN tunnel tussen RRASservers;
Dial-up RAS server: met modem om in te
bellen;
NAT tussen netwerken: vertaling van publiek
naar private en andersom;
Routing tussen netwerken:
Basic firewall: Simpele L3 router, “blocking” per
poort.

Modifying Remote Access Network Policy
n

NPS blokkeert standaard de toegang voor remote access clients;

Network Policy and Access Services (NPAS)
n

NPAS: ‘enforces policies’:
n
n
n
n

n

‘network access’
‘authentication’
‘authorization’
‘client Health’

‘Network Policy Server’ (NPS)

Configuring Policies
n

Vier elementen:
1.
2.
3.
4.

‘Conditions’
‘Permissions’
‘Constraints’
‘Settings

• ‘Basic rules’:
1.
2.
3.
4.

Gebruiker moet aan alle condities voldoen
Gebruiker gebruikt alleen de eerste policy
Bij ‘access denied’, niet naar ander policy gekeken
Gebruiker voldoet niet aan een policy = geen
toegang
5. Als er geen policies zijn, dan geen match op de
‘conditions’ en dus geen toegang.

Policy Conditions & Policy Order

Resultaat?
Geen toegang want IT admins en sales zijn ook lid van Domain Users. IT admins en sales worden niet gebruikt!
Oplossing?

Group Conditions & Constraints
n

n
n

Host Credential Authorization Protocol (HCAP)
n Third-party access server communicatie. Alleen NPS,
dan geen HCAP
Day and Time restrictions
Connection properties
n Acces client IPv4 & IPv6
n Authentication type (o.a PAP, CHAP, MS-CHAPv2,
geen)
n Allowed EAP types (o.a. EAP-MS-Chapv2, Peap,
Smartcard, certificate)
n Framed Protocol (PPP,..)
n

n

Service type ((callback) framed))

Tunnel Type (L2TP, PPTP en SSTP)

Policy Settings
Basic Encryption (MPPE 40-bit)
Strong Encryption (MPPE 56 Bit)
Strongest Encryption (MPPE 128 Bit)
No Encryption
(negotiate the strongest)
PPTP = MPPE
L2TP = IPsec
SSTP = SSL
Static pool
DHCP
Statically

Chapter 22

Server-toClient Remote and Mobile Access

Server-to-client Remote Access
n
n

Veilige verbinding van ‘overal’ naar het bedrijfsnetwerk;
NPS functionaliteiten:
n

Valideren en toegang tot resources;

Remote Access in Windows server 2016
n

Mogelijkheden:
n
n

n
n
n
n
n
n

DirectAccess en RAS:
Powershell integratie voor setup, configuratie, monitoring en
troubleshooting.
NAT64 en DNS64 voor IPv4 resources;
High-availability;
Multidomein;
Support voor RSA secureID;
Integrated force tunneling support;
Health Monitoring en Diagnostics.

VPN in Server 2016
n
n
n
n
n

VPN Client;
RAS server (VM/Fysiek);
NPS server (VM/Fysiek);
CA (VM/Fysiek of Azure);
AD (…).

RAS System Authentocation
n

PPP Authenticatie protocollen:
n
n
n
n
n
n

n

PPTP: Ms-CHAP, MS-CHAPv2, EAP en PEAP;
n
n
n

n

Password Authentication Protocol (PAP)
Challenge-Handshake Authentication Protocol (CHAP)
Microsoft Challenge–Handshake Authentication Protocol (MS-CHAP)
MS-CHAP version 2 (MS-CHAP v2)
Extensible Authentication Protocol (EAP)
Protected Extensible Authentication Protocol (PEAP)

Microsoft Point-to-Point Encryption (MPPE): Encryptie
Zonder CA of smartcards: gebruik MS-CHAPv2: mutual authentication;
Password authentication: strong passwords (8> karakters), GPO kan hiervoor worden gebruikt.

L2TP/IPSec:
n
n

Kan elk authenticatie protocol gebruiken;
Voorkeur voor: MS-CHAPv2, EAP of PEAP.

EAP en PEAP Authenication Protocols
n
n
n

Extensible Authentiction Protocol (EAP);
Protected Extensible Authentiction Protocol (PEAP);
Voor CA:
n

n

EAP:
n
n
n
n

n

User, computer certificaten of smartcards.
Gebruiker stuurt zijn certificaat voor authenticatie;
VPN-server stuurt zijn computer certificaat voor authenticatie;
Mag extern certificaat zijn, zolang de NPS server deze kent.
OID server: 1.3.6.1.5.5.7.3.1  client OID: 1.2.6.1.5.5.7.3.2.

PEAP: geen specifieke authenticatie methoden;
n

EAP wordt extra beveiligd en/of MS-CHAPv2 wordt gebruikt.

Choosing best authentication protocol
n

EAP is het meest veilig;
n

n

PEAP met EAP-MS_CHAPv2:
n
n
n

n

Ondersteuning op XP en Windows 2000 of later.
Eenvoudiger uitrollen;
Certificaat alleen nodig voor de VPN-server;
Key generation op basis van TLS.

MS-CHAPv2:
n
n

Minst veilig van deze drie;
Eenvoudig uitrolbaar met GPO.

VPN Protocols

Tunneling within a 2016 network env

VPN Protocols

LET OP: DirectAccess doen wij niet!

Choosing Between …
n

Voordelen L2TP/IPSec:
n

n
n

Biedt per-packet data authenticatie, data integrity, replay protection,
data confidentiality.
Sterker authenticatie mechanisme.
PPP packets worden niet onversleuteld verzonden tijdens user-level
authentication.
n

n

PPP sesie pas nadat IPSec de data heeft versleuteld.

Voor- en nadelen PPTP & SSTP.

Ports effecting the VPN connection

VPN Scenerio
n
n
n
n
n
n

IP-addressing;
Certifcate Auto-enrollment.
Configuring NPS;
Setting up RAS server;
Setting up client;
Monitoring RAS.

Configure VPN Client

PPTP en SSTP Configuratie

RRAS PPTP/….

Client PPTP

ADUC

SSTP

Certsrv van IIS is (waarschijnlijk het probleem!

Error met certificaat, is elders gekoppeld

Je moet de ‘Bindings’ aanpassen

SSTP

Vergeet niet (IIS) te herstarten!
Dan de client configuratie

Nu moet je certificaat wel kunnen koppelen

SSTP

DNS of
hosts
file !

SSTP
Certutil …..

Vragen?