Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

Full Transcript

Enterprice ICT Platforms Week 5 VPN Windows 2016 en Windows 10 Education Documentatie en informatie: n n n n Boek: Windows server 2016 unleashed Chapter 14: Network Policy and Access Services, RRAS en DA. (Blz.483-490) n Niet de onderdelen over Direct Access (DA). Chapter 22:Server-to-Client R...

Enterprice ICT Platforms Week 5 VPN Windows 2016 en Windows 10 Education Documentatie en informatie: n n n n Boek: Windows server 2016 unleashed Chapter 14: Network Policy and Access Services, RRAS en DA. (Blz.483-490) n Niet de onderdelen over Direct Access (DA). Chapter 22:Server-to-Client Remote and Mobile Access (blz.801849). n Niet de onderdelen over DA! Videos: n .. Chapter 14 Network Policy and Access Services, Routing and Remote Access and DirectAccess Beveiligde verbindingen Windows n VPN: n n n DirectAccess: n n n PPTP, SSTP (TCP 443), L2TP, IKv2 (VPN Reconnect); Met certificaten en/of Pre-Shared key’s (laatste minder veilig!) Geen onderdeel meer van practicum- en theorietentamen; Always-On VPN; Services: n n Routing and Remote Acces Service (RRAS); Network Policy and Access Service; n n Sinds Server 2008 afzonderlijke services. Radius. VPN: n Twee varianten: n n Point-To-Point: tussen VPN-Client en een VPN-Server; Site-to-site: tussen twee VPN-Servers/routers; Supported OS n n Niet alle functionaliteiten zijn in elk Windows OS beschikbaar: Voor de meeste functionaliteiten: n n n n 2016 (en eerder); Windows 7, 8 en 10 Enterprise; Windows 7 Ultimate; Windows 10 Education; Network Policy Server n Blokkeren of toestaan van gebruikers op basis van o.a.: n n n n n n Groepen; Tijd; Gebruikersaccount; IP-instelligen; …. RADIUS Service van Microsoft. n Authenticatie via AD. Exploring VPN Tunnels n Veilige verbinding over een ‘onveilig’ netwerk als het internet; n n n Vrijwillige door een gebruiker; Software die automatisch start. Werking van VPN op: n n OSI-laag 2 tot 7: Bekende varianten: n n n PPTP, L2TP/Ipsec, SSTP, Ikve2,… PPTP en L2TP zijn Point-to-point (PPP) based, PPP heeft ondersteuning voor o.a.: n User authenticatie, data compressie, encryptie, token en kaart support https://www.researchgate.net/figure/OSI-model-for-VPN-used-protocols_fig1_255670535 L2TP/IPSec Secure Protocol n L2TP met extra veiligheid (encryptie) door het gebruik van IPSec: n n n n Voordelen L2TP/IPSec: n n n n IPSec: Laag 3 encryptie protocol; Header en trailer encryptie, normaal clear tekst. Dual encrypting payload. Data authenticatie op ‘packet’ niveau waardoor de data niet kan worden aangepast (confidentiality); Dual-athentication: User en Computer-level authenticatie mogelijk; Onderschepte L2TP packets tijdens de initiele user-level authenticatie kunnen door IPSec niet ‘offline’ worden ontsleuteld. Ipsec levert regelmatig problemen op met NAT! Enabling VPN on Remote-access Server n Types: n n n n n n VPN gateway voor clients: VPN voor toegang tot het netwerk; Site-to-site VPN: VPN tunnel tussen RRASservers; Dial-up RAS server: met modem om in te bellen; NAT tussen netwerken: vertaling van publiek naar private en andersom; Routing tussen netwerken: Basic firewall: Simpele L3 router, “blocking” per poort. Modifying Remote Access Network Policy n NPS blokkeert standaard de toegang voor remote access clients; Network Policy and Access Services (NPAS) n NPAS: ‘enforces policies’: n n n n n ‘network access’ ‘authentication’ ‘authorization’ ‘client Health’ ‘Network Policy Server’ (NPS) Configuring Policies n Vier elementen: 1. 2. 3. 4. ‘Conditions’ ‘Permissions’ ‘Constraints’ ‘Settings • ‘Basic rules’: 1. 2. 3. 4. Gebruiker moet aan alle condities voldoen Gebruiker gebruikt alleen de eerste policy Bij ‘access denied’, niet naar ander policy gekeken Gebruiker voldoet niet aan een policy = geen toegang 5. Als er geen policies zijn, dan geen match op de ‘conditions’ en dus geen toegang. Policy Conditions & Policy Order Resultaat? Geen toegang want IT admins en sales zijn ook lid van Domain Users. IT admins en sales worden niet gebruikt! Oplossing? Group Conditions & Constraints n n n Host Credential Authorization Protocol (HCAP) n Third-party access server communicatie. Alleen NPS, dan geen HCAP Day and Time restrictions Connection properties n Acces client IPv4 & IPv6 n Authentication type (o.a PAP, CHAP, MS-CHAPv2, geen) n Allowed EAP types (o.a. EAP-MS-Chapv2, Peap, Smartcard, certificate) n Framed Protocol (PPP,..) n n Service type ((callback) framed)) Tunnel Type (L2TP, PPTP en SSTP) Policy Settings Basic Encryption (MPPE 40-bit) Strong Encryption (MPPE 56 Bit) Strongest Encryption (MPPE 128 Bit) No Encryption (negotiate the strongest) PPTP = MPPE L2TP = IPsec SSTP = SSL Static pool DHCP Statically Chapter 22 Server-toClient Remote and Mobile Access Server-to-client Remote Access n n Veilige verbinding van ‘overal’ naar het bedrijfsnetwerk; NPS functionaliteiten: n Valideren en toegang tot resources; Remote Access in Windows server 2016 n Mogelijkheden: n n n n n n n n DirectAccess en RAS: Powershell integratie voor setup, configuratie, monitoring en troubleshooting. NAT64 en DNS64 voor IPv4 resources; High-availability; Multidomein; Support voor RSA secureID; Integrated force tunneling support; Health Monitoring en Diagnostics. VPN in Server 2016 n n n n n VPN Client; RAS server (VM/Fysiek); NPS server (VM/Fysiek); CA (VM/Fysiek of Azure); AD (…). RAS System Authentocation n PPP Authenticatie protocollen: n n n n n n n PPTP: Ms-CHAP, MS-CHAPv2, EAP en PEAP; n n n n Password Authentication Protocol (PAP) Challenge-Handshake Authentication Protocol (CHAP) Microsoft Challenge–Handshake Authentication Protocol (MS-CHAP) MS-CHAP version 2 (MS-CHAP v2) Extensible Authentication Protocol (EAP) Protected Extensible Authentication Protocol (PEAP) Microsoft Point-to-Point Encryption (MPPE): Encryptie Zonder CA of smartcards: gebruik MS-CHAPv2: mutual authentication; Password authentication: strong passwords (8> karakters), GPO kan hiervoor worden gebruikt. L2TP/IPSec: n n Kan elk authenticatie protocol gebruiken; Voorkeur voor: MS-CHAPv2, EAP of PEAP. EAP en PEAP Authenication Protocols n n n Extensible Authentiction Protocol (EAP); Protected Extensible Authentiction Protocol (PEAP); Voor CA: n n EAP: n n n n n User, computer certificaten of smartcards. Gebruiker stuurt zijn certificaat voor authenticatie; VPN-server stuurt zijn computer certificaat voor authenticatie; Mag extern certificaat zijn, zolang de NPS server deze kent. OID server: 1.3.6.1.5.5.7.3.1  client OID: 1.2.6.1.5.5.7.3.2. PEAP: geen specifieke authenticatie methoden; n EAP wordt extra beveiligd en/of MS-CHAPv2 wordt gebruikt. Choosing best authentication protocol n EAP is het meest veilig; n n PEAP met EAP-MS_CHAPv2: n n n n Ondersteuning op XP en Windows 2000 of later. Eenvoudiger uitrollen; Certificaat alleen nodig voor de VPN-server; Key generation op basis van TLS. MS-CHAPv2: n n Minst veilig van deze drie; Eenvoudig uitrolbaar met GPO. VPN Protocols Tunneling within a 2016 network env VPN Protocols LET OP: DirectAccess doen wij niet! Choosing Between … n Voordelen L2TP/IPSec: n n n Biedt per-packet data authenticatie, data integrity, replay protection, data confidentiality. Sterker authenticatie mechanisme. PPP packets worden niet onversleuteld verzonden tijdens user-level authentication. n n PPP sesie pas nadat IPSec de data heeft versleuteld. Voor- en nadelen PPTP & SSTP. Ports effecting the VPN connection VPN Scenerio n n n n n n IP-addressing; Certifcate Auto-enrollment. Configuring NPS; Setting up RAS server; Setting up client; Monitoring RAS. Configure VPN Client PPTP en SSTP Configuratie RRAS PPTP/…. Client PPTP ADUC SSTP Certsrv van IIS is (waarschijnlijk het probleem! Error met certificaat, is elders gekoppeld Je moet de ‘Bindings’ aanpassen SSTP Vergeet niet (IIS) te herstarten! Dan de client configuratie Nu moet je certificaat wel kunnen koppelen SSTP DNS of hosts file ! SSTP Certutil ….. Vragen?

Use Quizgecko on...
Browser
Browser