Обязательно ознакомьтесь с предыдущими статьями в этой серии Geek School в Windows 7:
- Знакомство с учебной школой
- Модернизация и миграция
- Конфигурирование устройств
- Управление дисками
- Управление приложениями
- Управление Internet Explorer
- Основы IP-адресации
- сетей
- Беспроводная сеть
- Брандмауэр Windows
- Удаленное администрирование
И оставайтесь настроенными для остальной части сериала всю эту неделю.
Защита доступа к сети
Защита доступа к сети - это попытка Microsoft контролировать доступ к сетевым ресурсам на основе состояния клиента, пытающегося подключиться к ним. Например, в ситуации, когда вы являетесь пользователем ноутбука, может быть много месяцев, когда вы находитесь в дороге и не подключаете свой ноутбук к своей корпоративной сети. В течение этого времени нет гарантии, что ваш ноутбук не заразится вирусом или вредоносным ПО, или вы даже получите обновления антивирусных определений.
В этой ситуации, когда вы вернетесь в офис и подключите машину к сети, NAP автоматически определит работоспособность компьютеров в соответствии с политикой, настроенной на одном из ваших NAP-серверов. Если устройство, подключенное к сети, не проведет проверку работоспособности, оно автоматически переместится в супер-ограниченный раздел вашей сети, называемый зоной исправления. Когда в зоне восстановления серверы исправления автоматически попытаются устранить проблему с вашей машиной. Некоторые примеры могут быть следующими:
- Если брандмауэр отключен и ваша политика требует, чтобы он был включен, серверы исправления включили бы ваш брандмауэр для вас.
- Если в вашей политике работоспособности указано, что вам нужны последние обновления для Windows, а вы этого не сделаете, у вас может быть сервер WSUS в зоне восстановления, в котором будут установлены последние обновления на вашем клиенте.
Ваша машина будет переведена только в корпоративную сеть, если она будет считаться здоровой на ваших серверах NAP. Существует четыре разных способа обеспечения NAP, каждый из которых имеет свои преимущества:
- VPN - Использование метода принудительного применения VPN полезно в компании, в которой у вас есть дистанционно работающие из дома удаленные пользователи, используя свои собственные компьютеры. Вы никогда не можете быть уверены в том, какое вредоносное ПО может установить кто-то на ПК, на котором у вас нет контроля. Когда вы используете этот метод, здоровье клиента будет проверяться каждый раз, когда они инициируют VPN-соединение.
- DHCP - Когда вы используете метод принудительного DHCP, клиенту не будут предоставлены действительные сетевые адреса с вашего DHCP-сервера, пока они не будут считаться полезными вашей инфраструктурой NAP.
- IPsec - IPsec - это метод шифрования сетевого трафика с использованием сертификатов. Хотя это не очень распространено, вы также можете использовать IPsec для обеспечения соблюдения NAP.
- 802.1x - 802.1x также иногда называют аутентификацией на основе порта и является методом аутентификации клиентов на уровне коммутатора. Использование 802.1x для обеспечения соблюдения политики NAP является стандартной практикой в современном мире.
Dial-Up Connections
По какой-то причине в этот день и в возрасте Microsoft по-прежнему хочет, чтобы вы знали об этих примитивных подключениях удаленного доступа. Коммутационные соединения используют аналоговую телефонную сеть, также известную как POTS (обычная старая телефонная служба), для доставки информации с одного компьютера на другой. Они делают это с помощью модема, который представляет собой комбинацию слов, модулирующих и демодулирующих. Модем подключается к вашему ПК, обычно используя кабель RJ11, и модулирует цифровые информационные потоки с вашего ПК в аналоговый сигнал, который можно передавать по телефонным линиям. Когда сигнал достигает своего пункта назначения, он демодулируется другим модемом и возвращается обратно в цифровой сигнал, который компьютер может понять. Чтобы создать коммутируемое соединение, щелкните правой кнопкой мыши значок состояния сети и откройте Центр управления сетями и общим доступом.
Примечание. Если у вас возник вопрос, который требует, чтобы вы установили соединение по dial-up на экзамене, они предоставят соответствующие данные.
Виртуальные частные сети
Виртуальные частные сети - это частные туннели, которые вы можете установить через общедоступную сеть, такую как Интернет, чтобы вы могли безопасно подключиться к другой сети.
Например, вы можете установить VPN-соединение с ПК в вашей домашней сети, в корпоративную сеть. Таким образом, казалось бы, ПК в вашей домашней сети действительно был частью вашей корпоративной сети. Фактически, вы даже можете подключиться к сетевым ресурсам, например, если вы взяли ваш компьютер и физически подключили его к своей рабочей сети с помощью кабеля Ethernet. Единственное различие - это, конечно же, скорость: вместо того, чтобы получать скорости Gigabit Ethernet, если бы вы были физически в офисе, вы будете ограничены скоростью вашего широкополосного подключения.
Вы, вероятно, задаетесь вопросом, насколько безопасны эти «частные туннели», поскольку они «туннелируют» через Интернет. Могут ли каждый увидеть ваши данные? Нет, они не могут, и это потому, что мы шифруем данные, отправленные по VPN-соединению, следовательно, называем виртуальную «частную» сеть. Протокол, используемый для инкапсуляции и шифрования данных, передаваемых по сети, остается за вами, а Windows 7 поддерживает следующее:
Примечание. К сожалению, эти определения вам нужно знать наизусть для экзамена.
-
Протокол туннелирования «точка-точка» (PPTP) - Протокол туннелирования «точка-точка» позволяет сетевому трафику инкапсулироваться в IP-заголовок и отправляться через IP-сеть, такую как Интернет.
- Инкапсуляция: Кадры PPP инкапсулированы в дейтаграмму IP, используя модифицированную версию GRE.
- шифрование: Кадры PPP зашифровываются с использованием Microsoft Point-to-Point Encryption (MPPE). Во время аутентификации генерируются ключи шифрования, в которых используются протоколы проверки подлинности протокола проверки подлинности Microsoft Challenge 2 (MS-CHAP v2) или протокола расширенного аутентификации - протокол транспортного уровня (EAP-TLS).
-
Протокол туннелирования уровня 2 (L2TP) - L2TP - безопасный протокол туннелирования, используемый для транспортировки кадров PPP с использованием интернет-протокола, частично основан на PPTP. В отличие от PPTP, реализация L2TP в Microsoft не использует MPPE для шифрования кадров PPP. Вместо этого L2TP использует IPsec в режиме транспорта для служб шифрования. Комбинация L2TP и IPsec известна как L2TP / IPsec.
- Инкапсуляция: Кадры PPP сначала обернуты заголовком L2TP, а затем заголовком UDP. Результат затем инкапсулируется с использованием IPSec.
- шифрование: Сообщения L2TP шифруются с помощью шифрования AES или 3DES с использованием ключей, сгенерированных в процессе согласования IKE.
-
Протокол туннелирования защищенных сокетов (SSTP) - SSTP - это протокол туннелирования, который использует HTTPS. Поскольку TCP-порт 443 открыт на большинстве корпоративных брандмауэров, это отличный выбор для тех стран, которые не разрешают традиционные VPN-соединения. Он также очень безопасен, так как он использует SSL-сертификаты для шифрования.
- Инкапсуляция: Кадры PPP инкапсулированы в IP-датаграммы.
- шифрование: SSTP-сообщения шифруются с использованием SSL.
-
Интернет-обмен ключами (IKEv2) - IKEv2 - это протокол туннелирования, который использует протокол протокола туннеля IPsec через порт UDP 500.
- Инкапсуляция: IKEv2 инкапсулирует дейтаграммы с использованием заголовков IPSec ESP или AH.
- шифрование: Сообщения шифруются с помощью шифрования AES или 3DES с использованием ключей, сгенерированных в процессе согласования IKEv2.
Требования к серверу
Примечание. Очевидно, что у вас есть другие операционные системы, настроенные как VPN-серверы. Тем не менее, это требования для запуска сервера Windows VPN.
Чтобы пользователи могли создавать VPN-подключение к вашей сети, вам необходимо иметь сервер под управлением Windows Server и установить следующие роли:
- Маршрутизация и удаленный доступ (RRAS)
- Сервер сетевой политики (NPS)
Вам также необходимо настроить DHCP или назначить статический пул IP, который могут использовать компьютеры, подключаемые через VPN.
Создание VPN-подключения
Чтобы подключиться к VPN-серверу, щелкните правой кнопкой мыши значок состояния сети и откройте Центр управления сетями и общим доступом.
Теперь вам нужно будет ввести IP-адрес или DNS-имя VPN-сервера в сети, к которой вы хотите подключиться. Затем нажмите Далее.
Затем введите свое имя пользователя и пароль и нажмите «Подключиться».
Домашнее задание
Прочтите следующую статью о TechNet, которая поможет вам в планировании безопасности VPN.
Примечание. Сегодняшняя домашняя работа немного не подходит для экзамена 70-680, но она даст вам четкое представление о том, что происходит за сценой, когда вы подключаетесь к VPN из Windows 7.
Если у вас есть какие-либо вопросы, вы можете написать мне @taybgibb или просто оставить комментарий.