Implementiranje VPN servera uključuje nekoliko zadataka kao što je konfiguracija autentifikacije u Tunneling protokolu, konfiguracija razrešavanje imena, konfiguracija Quarantine Remote Access Police, implementacija šifrovanja.

U  ovoj lekciji će biti objašnjen koncept koji se odnosi na implementiranje VPN servera.

 

Metodi za konfiguraciju VPN servera

Možemo da implementiramo Windows Server 2003 kompjuter kao VPN server koristeći Configuration Wizard ili konfiguracijom nekoliko zadataka.

Metode koje se koriste za implementaciju VPN servera uključuju:

  • Korišćenje Configure Your Server Wizard: Možemo da pristupimo Configure your server Wizard iz Administrative tools menija. Ovaj čarobnjak nudi mogućnost podešavanja servera da odrađuje jednu ili više specifičnih uloga. Da bi konfigurisali VPN server, potrebno je da kliknemo na Remote Access-VPN server ulogu.
  • Korišćenje Routing and Remote Access MMC konzole: Korišćenjem ove konzole možemo da startujemo Routing and Remote Server Setup Wizard koji nam može pomoći da setujemo naš server da nudi rutiranje ili funkciju udaljenog pristupa. Da bi konfigurisali VPN server, potrebno je da selektujemo Remote Access (Dial-up or VPN) opciju u Configuration stranici čarobnjaka.

 

Implementacija RAS Lockout-a

Da bismo sprečili Dictionary napade na Password-based naloge na udaljenom serveru, možemo da koristimo opciju Remote Access Account Lockout.

RAS Lockout: Možemo da kontrolišemo dve karakteristike Remote Access Lockout-a:

  • Broj neuspešnih pokušaja pre nego što budući pokušaji budu odbijeni.
  • Koliko se često resetuje brojač neuspešnih napada

 

Da bismo omogućili Remote Access Lockout, potrebno je da pronađemo sledeći ključ u registry-ju:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout\


Dva iznosa koja možemo da modifikujemo su:

  • MaxDenials: Defoltni iznos je 0 i ukazuje da je Account Lockout isključen. Potrebno je da upišemo broj neuspešnih pokušaja pre nego što nalog bude zaključan.
  • ResetTime (mins): Defoltni iznos je 0xb40, što predstavlja heksadecimalan iznos za 2,800 minuta (dva dana). Potrebno je modifikovati ovaj iznos i ispuniti očekivanja naših sigurnosnih potreba.

 

Implentirati Remote Access Account Lockout konfiguracijom registry-ja direktno na RAS serveru. Ako je RAS server konfigurisan za RADIUS autentifikaciju, a mi koristimo IAS, potrebno je da modifikujemo registry na IAS serveru.

Ako naša organizacija koristi Smart kartice, proizvođač Smart kartica kontroliše zaključavanje naloga za PIN-ove koji nisu validni. Popravka Smart kartica nakon zaključavanja naloga, što je rezultat netačno unesenog PIN-a, može zahtevati zamenu Smart kartice.

 

Opcije za konfiguraciju razrešavanja imena (Name Resolution)

U toku PPP Connection Setup procesa, VPN klijenti primaju IP adrese od DNS-a i WINS-a kroz DHCP ili kroz DHCPINFORM paket. Da bismo osigurali da klijenti mogu da razrešavaju imena, moramo da konfigurišemo razrešavanje imena na VPN serverima.

 

Konfiguracija razrešavanja imena: Razrešavanje imena može da se konfiguriše koristeći sledeće metode:

  • Broadcast Name Resolution: VPN klijenti koji se konektuju u male mreže ili manje kancelarije bez lokalnog WINS ili DNS servera, mogu da razreše mrežna imena resursa u mreži na koju su se konektovali koristeći Broadcast Name Resolution. Ova karakteristika ne zahteva konfiguraciju na udaljenim klijentima i omogućena je po defoltu na Remote Access serveru. Broadcast Name Resolution je konfigurisana na IP kartici u VPN Server Properties meniju u Routing and Remote Access MMC konzoli.
  • DHCP: Ako je VPN server konfigurisan da dodeljuje IP adrese koristeći DHCP, možemo takođe da konfigurišemo DHCP server da nudi IP adrese DNS i WINS servera. Ovo ponuditi je potrebno pri razrešavanju imena da bi klijneti mogli da pristupaju mrežnim resursima. Da bismo osigurali odgovarajuće dodeljivanje adresnih informacija, potrebno je da konfigurišemo odgovarajući adapter (mrežnu kartu) na IP kartici u VPN Server Properties meniju u Routing and Remote Access MMC konzoli.

 

Connection Manager

Familija programa Connection Managera je skup opcionalnih komponenti koje se koriste za kreiranje solucije udaljenog pristupa kojim može efikasno da se upravlja. Connection Manager omogućava mrežnom administrator da unapred konfiguriše Remote Access klijente, i da prilagodi ponašanje i ponudi ažurirani Phone book da bi se lako pronalazili najpotrebniji Dial-up access brojevi. Connection Manager familija nudi jednostavan način za konektovanje u udaljenu mrežu. Tipično, korisnik samo treba da upiše korisničko ime i lozinku i da selektuje broj telefona. Administrator konfiguriše sve ostale postavke pre distribucije servis profila.

CMAK: CMAK dozvoljava administratoru da kreira i konfiguriše servis profil i da kreira mali samo instalirajući paket. CMAK takođe dozvoljava administratoru da prilagodi karakteristike Connection Manager-a kao što su Branding, Custom Actions, Custom Help files kao dodatak  sigurnosnim karakteristikama. Pre startovanja CMAK čarobnjaka, moramo da isplaniramo i izgradimo Connection Manager prilagođene elemente koje želimo u našem Client Dialer-u. Na primer, možda ćemo morati da konfigurišemo komponente karantina sa Profile instalacijom. Nakon kompletiranja CMAK čarobnjaka, servis profil je kreiran i može se distribuirati svim VPN klijentima.


CPS: CPS dozvoljava administratoru da kreira i održava telefonski imenik. Telefonski imenik se sastoji iz dva dela.

  • Phone Book Administration (PBA): PBA je alatka koja se koristi za kreiranje i održavanje fajlova telefonskog imenika i za objavljivanje novih i ažuriranih fajlova telefonskog imenika na PBS serveru koji je tipično Web Server kao što je IIS 6.0.
  • Phone Book Service: PBS distribuira telefonske imenike u Connection ManagerClisnts na zahtev.
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Implementacija VPN Servera 1
  • Implementacija VPN Servera 2
  • Implementacija VPN Servera 3
  • Implementacija VPN Servera 4