Geek School Learning Windows 7 - Удаленный доступ

В последней части серии мы рассмотрели, как вы можете управлять своими компьютерами Windows и использовать их из любой точки мира, если вы находитесь в одной сети. Но что, если вы не?

Обязательно ознакомьтесь с предыдущими статьями этой серии Geek School по Windows 7:

• Представляем How-To Geek School
• Обновления и Миграции
• Конфигурирование устройств
• Управляющие Диски
• Управление приложениями
• Управление Internet Explorer
• Основы IP-адресации
• сетей
• Беспроводная сеть
• Брандмауэр Windows
• Удаленное администрирование

И оставайтесь с нами до конца сериала всю эту неделю.

Защита доступа к сети

Защита доступа к сети - это попытка Microsoft контролировать доступ к сетевым ресурсам на основе работоспособности клиента, пытающегося подключиться к ним. Например, в ситуации, когда вы пользуетесь ноутбуком, может быть много месяцев, когда вы находитесь в дороге и не подключаете свой ноутбук к корпоративной сети. В течение этого времени нет никакой гарантии, что ваш ноутбук не заразится вирусом или вредоносным ПО или что вы даже получите обновления антивирусных определений..

В этой ситуации, когда вы вернетесь в офис и подключите компьютер к сети, NAP автоматически определит работоспособность компьютеров в соответствии с политикой, настроенной вами на одном из ваших серверов NAP. Если устройство, подключенное к сети, не проходит проверку работоспособности, оно автоматически перемещается в раздел с ограниченным доступом в вашей сети, называемый зоной исправления. Находясь в зоне исправления, серверы исправления автоматически попытаются устранить проблему с вашим компьютером. Некоторые примеры могут быть:

• Если ваш брандмауэр отключен и ваша политика требует его включения, серверы исправлений включат ваш брандмауэр для вас..
• Если в вашей политике здоровья указано, что вам нужны последние обновления Windows, а у вас нет, в вашей зоне исправлений может быть установлен сервер WSUS, который будет устанавливать последние обновления на вашем клиенте..

Ваша машина будет перемещена обратно в корпоративную сеть только в том случае, если ваши серверы NAP сочтут ее работоспособной. Существует четыре различных способа применения NAP, каждый из которых имеет свои преимущества:

• VPN - Использование метода принудительного применения VPN полезно в компании, где удаленные сотрудники работают удаленно из дома, используя свои собственные компьютеры. Вы никогда не можете быть уверены в том, какую вредоносную программу кто-то может установить на ПК, который вы не можете контролировать. Когда вы используете этот метод, здоровье клиента будет проверяться каждый раз, когда он инициирует VPN-соединение..
• DHCP - При использовании метода принудительного применения DHCP клиенту не будут предоставляться действительные сетевые адреса с вашего DHCP-сервера, пока они не будут признаны работоспособными вашей инфраструктурой NAP..
• IPsec - IPsec - это метод шифрования сетевого трафика с использованием сертификатов. Хотя это не очень распространено, вы также можете использовать IPsec для принудительного применения NAP.
• 802.1x - 802.1x также иногда называют аутентификацией на основе портов и является методом аутентификации клиентов на уровне коммутатора. Использование 802.1x для реализации политики NAP является стандартной практикой в ​​современном мире..

Dial-Up соединения

По какой-то причине в наше время Microsoft все еще хочет, чтобы вы знали об этих примитивных коммутируемых соединениях. Коммутируемые соединения используют аналоговую телефонную сеть, также известную как POTS (простая телефонная служба), для передачи информации с одного компьютера на другой. Они делают это с помощью модема, который является комбинацией слов модулировать и демодулировать. Модем подключается к вашему ПК, обычно с помощью кабеля RJ11, и модулирует потоки цифровой информации с вашего компьютера в аналоговый сигнал, который может передаваться по телефонным линиям. Когда сигнал достигает места назначения, он демодулируется другим модемом и превращается в цифровой сигнал, который может понять компьютер. Чтобы создать подключение удаленного доступа, щелкните правой кнопкой мыши значок состояния сети и откройте Центр управления сетями и общим доступом..

Затем нажмите «Установить новое соединение» или «Гиперссылка на сеть»..

Теперь выберите Настроить модемное соединение и нажмите «Далее»..

Отсюда вы можете заполнить всю необходимую информацию.

Примечание. Если вы получите вопрос, требующий настройки коммутируемого соединения на экзамене, он предоставит соответствующую информацию..

Виртуальные частные сети

Виртуальные частные сети - это частные туннели, которые вы можете установить через общедоступную сеть, такую ​​как Интернет, чтобы вы могли безопасно подключиться к другой сети..

Например, вы можете установить VPN-подключение с ПК в вашей домашней сети к вашей корпоративной сети. Таким образом, может показаться, что компьютер в вашей домашней сети действительно является частью вашей корпоративной сети. На самом деле, вы даже можете подключиться к общим сетевым ресурсам, например, если вы взяли свой компьютер и физически подключили его к рабочей сети с помощью кабеля Ethernet. Разница, конечно, в скорости: вместо того, чтобы получать скорости Gigabit Ethernet, которые были бы, если бы вы были физически в офисе, вы будете ограничены скоростью вашего широкополосного соединения..

Вы, вероятно, задаетесь вопросом, насколько безопасны эти «частные туннели», поскольку они «туннелируют» через Интернет. Может ли каждый увидеть ваши данные? Нет, они не могут, и это потому, что мы шифруем данные, передаваемые по VPN-соединению, отсюда и название виртуальной «частной» сети. Протокол, используемый для инкапсуляции и шифрования данных, передаваемых по сети, остается на ваше усмотрение, а Windows 7 поддерживает следующее:

Примечание: к сожалению, эти определения вам нужно будет знать наизусть для экзамена.

• Туннельный протокол точка-точка (PPTP) - Протокол двухточечного туннелирования позволяет инкапсулировать сетевой трафик в заголовок IP и отправлять его по IP-сети, например через Интернет..
  • Инкапсуляция: Кадры PPP инкапсулированы в дейтаграмму IP с использованием модифицированной версии GRE.
  • шифрование: PPP-кадры зашифрованы с использованием Microsoft Point-to-Point Encryption (MPPE). Ключи шифрования генерируются во время проверки подлинности, когда используются протоколы проверки подлинности рукопожатия Microsoft версии 2 (MS-CHAP v2) или протоколы расширенной проверки подлинности и безопасности транспортного уровня (EAP-TLS)..
• Протокол туннелирования уровня 2 (L2TP) - L2TP - это безопасный протокол туннелирования, используемый для транспортировки кадров PPP с использованием Интернет-протокола, он частично основан на PPTP. В отличие от PPTP, реализация L2TP от Microsoft не использует MPPE для шифрования кадров PPP. Вместо этого L2TP использует IPsec в транспортном режиме для служб шифрования. Комбинация L2TP и IPsec известна как L2TP / IPsec..
  • Инкапсуляция: Кадры PPP сначала оборачиваются заголовком L2TP, а затем заголовком UDP. Затем результат инкапсулируется с использованием IPSec..
  • шифрование: Сообщения L2TP шифруются с использованием шифрования AES или 3DES с использованием ключей, сгенерированных в процессе согласования IKE.
• Протокол туннелирования защищенного сокета (SSTP) - SSTP - это протокол туннелирования, использующий HTTPS. Поскольку TCP-порт 443 открыт на большинстве корпоративных брандмауэров, это отличный выбор для тех стран, которые не разрешают традиционные VPN-подключения. Это также очень безопасно, так как он использует SSL-сертификаты для шифрования.
  • Инкапсуляция: Кадры PPP инкапсулированы в дейтаграммы IP.
  • шифрование: Сообщения SSTP шифруются с использованием SSL.
• Обмен ключами в Интернете (IKEv2) - IKEv2 - это протокол туннелирования, использующий протокол IPsec Tunnel Mode через UDP-порт 500.
  • Инкапсуляция: IKEv2 инкапсулирует дейтаграммы с использованием заголовков IPSec ESP или AH.
  • шифрование: Сообщения шифруются с использованием шифрования AES или 3DES с использованием ключей, созданных в процессе согласования IKEv2.

Требования к серверу

Примечание. Очевидно, что другие операционные системы могут быть настроены в качестве серверов VPN. Тем не менее, это требования для запуска сервера Windows VPN.

Чтобы разрешить пользователям создавать VPN-подключения к вашей сети, вам необходимо иметь сервер под управлением Windows Server, на котором установлены следующие роли:

• Маршрутизация и удаленный доступ (RRAS)
• Сервер сетевой политики (NPS)

Вам также нужно будет настроить DHCP или выделить статический пул IP, который могут использовать машины, подключающиеся через VPN..

Создание VPN-соединения

Чтобы подключиться к VPN-серверу, щелкните правой кнопкой мыши значок состояния сети и откройте Центр управления сетями и общим доступом..

Затем нажмите «Установить новое соединение» или «Гиперссылка на сеть»..

Теперь выберите подключение к рабочему месту и нажмите кнопку Далее.

Затем выберите использовать существующее широкополосное соединение.

п

Теперь вам нужно будет ввести IP или DNS-имя VPN-сервера в сети, к которой вы хотите подключиться. Затем нажмите «Далее».

Затем введите имя пользователя и пароль и нажмите «Подключиться»..

После подключения вы сможете увидеть, подключены ли вы к VPN, щелкнув значок состояния сети..

Домашнее задание

• Прочитайте следующую статью на TechNet, которая поможет вам при планировании безопасности VPN.

Примечание. Сегодняшнее домашнее задание немного выходит за рамки экзамена 70-680, но оно даст вам четкое представление о том, что происходит за кулисами при подключении к VPN из Windows 7..

---

Если у вас есть какие-либо вопросы, вы можете написать мне @taybgibb или оставить комментарий.