Udaljeni pristup koriste mnoge organizacije da bi pružile pristup podacima korisnicima koji se nalaze izvan organizacije. Najčešći tip udaljenog pristupa je VPN (Virtual Private Networks). Prilikom planiranja solucije za udaljeni pristup, moramo da odredimo koji VPN protokol će se koristiti, pošto svaki od tih protokola poseduje jedinstveni set karakteristika koji ga čine odgovarajućim za različite scenarije. Mrežne polise i Network Policy Server koriste se za kontrolisanje autentifikacije udaljenih korisnika i mogu se koristiti u nekoliko konfiguracija da bi ispunili potrebe organizacije.
VPN konekcije
Da bi podržao PPP link, podatak je kapsuliran ili prelomljen zaglavljem. Zaglavlje nudi Routing informacije koje pomažu podatku da prolazi kroz deljenu ili javnu mrežu da bi stigao do svoje destinacije. Da bi se podržao privatni link, podatak se šifruje zbog poverljivosti. Paketi koje su presreli na privatnoj ili javnoj mreži su neupotrebljivi bez Encyption ključeva. Link u kojem je privatni podataka kapsuliran i šifrovan poznat je pod imenom VPN konekcija.
Imamo dva tipa VPN konekcija:- Remote Access VPN,
- Site-to-site VPN.
Routing and Remote Access service nudi VPN servise tako da korisnici mogu da pristupe mreži organizacije na siguran način šifrovanjem podataka između dva kompjutera kroz deljenu javnu mrežu. Paketi koji budu uhvaćeni na deljenoj ili javnoj mreži, ne mogu se pročitati bez Encryption Keys (ključeva). Link u kojem su privatni podaci kapsulirani i šifrovani je VPN konekcija. VPN konekcija se takođe naziva i VPN tunel.
Proces VPN konekcije je opisan u sledećin koracima:- VPN klijent pokušava da uspostavi VPN konekciju ka Remote Access Serveru-VPN serveru koji je konektovan na Internet. (VPN server se ponaša kao mrežni prolaz i normalno je konfigurisan da nudi pristup ka celoj mreži na kojoj je VPN server povezan.)
- VPN server odgovara na virtualni poziv.
- VPN server autentifikuje subjekta koji je napravio poziv i proverava njegovu autorizaciju da bi dopustio koriniku da se konektuje na mrežu.
- VPN server odrađuje transfer podataka između VPN klijenta i mreže organizacije.
Prednosti VPN: VPN dozvoljava korisnicima ili organizacijama da se konektuju na udaljene servere, manje kancelarije i na mreže drugih organizacija preko javne mreže (Interneta) i to sve preko veoma sigurne konekcije. U svim ovim slučajevima, sigurna konekcija se pojavljuje korisniku kao Private Network Communication – uprkos činjenici da komunikacija ide preko javne mreže (Interneta). Ostale prednosti su:
- Prednosti u ceni: VPN ne koristi telefonsku liniju i zahteva manje hardvera (Internet Service Provider ISP održava sav komunikacioni hardver).
- Povećana sigurnost: Osetljivi podaci su sakriveni od neautorizovanih korisnika, ali su pristupaćni za korisnike koji su prošli proces autorizacije. VPN server prisiljava na autentifikaciju i šifrovanje.
- Podrška za mrežne protokole: Možemo udaljeno da startujemo bilo koju aplikaciju koja zavisi od najčešćih mrežnih protokola, kao što je TCP-IP protokol.
- Sigurnost IP adresa: Iz razloga što su informacije koje se šalju preko VPN šifrovane, adresa koju smo odredili je zaštićena i saobraćaj koji se šalje preko Interneta će imati vidiljivu samo eksternu IP adresu.
Komponente VPN konekcije: VPN konekcija uključuje sledeće komponente:
- VPN server: Kompjuter koji prihvata VPN konekcije od VPN klijenata, kao što je, na primer, server konfigurisan sa Routing and Remote Access servisom.
- VPN klijent: Kompjuter koji inicira VPN konekciju ka VPN serveru.
- Tranzit mreža: Deljena ili javna mreža kroz koju prolaze kapsulirani podaci.
- VPN konekcija ili VPN tunel: Deo konekcije u kojoj su naši podaci šifrovani i kapsulirani.
- Tunneling Protokoli: Protokoli koji se koriste za upravljanje tunelima i za kapsuliranje privatnih podataka (na primer, Point-to-Point Tunneling Protocol PPTP).
- Podaci koji se šalju kroz tunel: Podaci koji se obično šalju kroz privatni Point-to-Point link.
- Autentifikacija: Identitet klijenta i servera u VPN konekciji se autentifikuju. Da bi se osiguralo da primljeni podaci predstavljaju podatke koje je stvarno poslao član konekcije (VPN klijent) i da podaci nisu presretnuti i modifikovani, VPN takođe autentifikuje podatke koje su poslati.
- Adrese i lociranje Name Servera: VPN server je odgovoran za dodeljivanje IP adresa koje dodeljuje preko defoltnog protokola, DHCP ili iz skupa statičkih IP adresa koji je kreirao administrator. VPN server takođe locira i daje adrese DNS i WINS servera VPN klijentima.
Tunneling Protokoli za VPN konekcije: Tunneling omogućava kapsulaciju paketa jednim tipom protokola unutar različitih datagrama protokola. Na primer, VPN koristi PPTP da bi enkapsulirao IP pakete preko javne mreže kao što je Internet. Administratori takođe mogu da konfigurišu VPN soluciju koja se zasniva na PPTP, L2TP ili SSTP.
Postoje tri tipa Tunneling protokola koje koristi Windows Server 2008 familija kad želi da zaštiti komunikaciju:
- Point-to-Point Tunneling Protocol (PPTP): Koristi User-Level PPP autentifikacione metode i Microsoft Point-to-Point Ecryption (MPPE) za šifrovanje podataka.
- Layer Two Tunneling Protocol with Internet Protocol Security (L2TP-IPSec): Koristi User-Level PPP autentifikacione metode preko konekcije koja je šifrovana koristeći IPSec. IPSec zahteva autentifikaciju hosta koristeći Kerberos protokol, Preshared Keys ili sertifikate na nivou kompjutera (Computer-level).
- SSTP: Enkapsulira PPP frejmove u IP datagrame i koristi port broj 443 (TCP) da upravljanje tunelom (Tunnel Management) i PPP Data frejmove. Enkriptovanje (šifrovanje) se obavlja korišćenjem SSL kanala u HTTPS protokolu.
Preporučuje se da koristimo L2TP-IPSec sa sertifikatima za sigurnu VPN autentifikaciju. Koristeći Internet Protocol Security (IPSec) autentifikaciju i šifrovanje, transfer podataka kroz L2TP-enabled VPN je sigurna unutar jednog LAN-a u mreži organizacije.
VPN klijent i VPN server moraju da podržavaju i L2TP i IPSec. Klijentska podrška za L2TP je izgrađena u Windows XP Remote Access Client, a VPN server podrška za L2TP je izgrađena u sve Windows Server 2003 verzije operativnog sistema.
Podrška na serveru za L2TP je instalirana kada instaliramo Routing and Remote Access servis. U zavisnosti od naših odluka kada startujemo Routing and Remote Access Server Setup Wizard, L2TP je konfigurisan da ima 5 ili 128 L2TP portova.
Zahtevi za konfiguraciju (Configuration Requirements): Pre same konfiguracije Remote Access VPN servera moramo da:
- odredimo koji mrežni interfejs je povezan na Internet i koji mrežni interfejs je povezan na privatnu mrežu,
- odredimo da li će udaljeni klijenti dobijati IP adrese od DHCP servera na našoj privatnoj mreži ili od Remote Access VPN servera koji želimo da konfigurišemo,
- odredimo da li želimo da zahtevi za konekcijama koji stižu od VPN klijenata budu autentifikovani korišćenjem RADIUS servera ili korišćenjem Remote Access VPN servera koji želimo da konfigurišemo,
- odredimo da li VPN klijenti mogu da šalju DHCP poruke ka DHCP serverima na našoj privatnoj mreži,
- proverimo da li svi korisnici imaju svoje korisničke naloge koji su konfigurisani za Dial-up pristup.
Mrežna polisa (Network Policy)
Mrežne polise se sastoje od seta uslova (Conditions), prinuda i postavki koje nam dozvoljavaju da odredimo ko je autorizovan da se konektuje u mrežu i uslove pod kojima može da se ostvari ili odbije konekcija. Kada izgradimo NAP, Health polise su dodate u Network Policy konfiguraciju tako da NPS odrađuje proveru klijenta (Client Health Checks) u toku procesa autorizacije.
Svaka mrežna polisa sadrži četri kategorije Properties-a:
- Overview,
- Conditions,
- Constraints,
- Settings.
Procesuiranje mrežne polise: Kada NPS odrađuje autorizaciju zahtevane konekcije, on poredi zahtev sa svakom mrežnom polisom koja se nalazi u listi polisa, počev od prve polise odozgo sa pomeranjem na dole u listi.
Šta je Remote Access Policy: Remote Access polise su setovi pravila koje definišu kako će konekcije biti autorizovane ili odbijene. Za svako pravilo, postoji jedan ili više uslova, postavke dozvola za udaljeni pristup i set postavki za profile.
Komponente Remote Access Policy: Polise za udaljeni pristup su konfigurisane da određuju, na osnovu članstva u grupama ili na osnovu individualnih korisničkih naloga, različite tipove ograničenja konekcija. Polisa za udaljeni pristup se sastoji od sledeće tri komponente koje rade zajedno sa aktivnom direktorijumom da bi ponudile siguran pristup na Remote Access serveru (server za udaljeni pristup):
- Uslovi: Uslovi polisa za udaljeni pristup su lista parametara, kao što su na primer vreme (Time of Day), korisničke grupe (User Groups), caller Ids ili IP adrese, koje se poklapaju sa parametrima na klijentu koji se konektuje na server. Prvi set uslova polise koji odgovaraju parametrima dolazećih zahteva za konekcijom su procesuirani i traži se dozvola pristupa i konfiguracija. Ako nijedan od uslova ne odgovara, pokušaj pristupa će propasti.
- Dozvole za udaljeni pristup: Remote Access konekcije se odobravaju na osnovu kombinacije Dial-in postavki u odlikama korisničkog naloga i polisa za udaljeni pristup. Postavke dozvola na polisi za udaljeni pristup rade sa korisničkim Dial-in dozvolama u aktivnom direktorijumu.
- Profil: Svaka polisa uključuje i postavke za profile, kao što su autentifikacija i protokoli za šifrovanje, koji su postavljeni za tu konekciju. Postavke u profilu se postavljaju na konekciju odmah i mogu da prouzrokuju da konekcija bude odbijena. Na primer, ako su postavke profila (Profile Settings) za konekciju postavljene da korisnik može da se konektuje samo 30 minuta po uspostavljanju konekcije, korisnik će biti diskonektovan sa servera za udaljeni pristup nakon isteka 30 minuta.
Remote Access Policy Profile: Remote Access Policy Profile je set karakteristika koje se postavljaju na autorizovanu konekciju – bilo kroz korisnički nalog ili kroz postavke za dozvole u polisi (Policy Permission Settings).
Nakon što je konekcija autorizovana, profil za polisu udaljenog pristupa određuje set restrikcija za konekciju. Dial-in Properties korisničkog naloga takođe nudi određene restrikcije. Kada su postavljene, restrikcije konekcija za korisničke naloge brišu restrikcije konekcija za Remote Access Policy Profile.
Remote Access Policy Profile određuje koji tip pristupa je dat korisniku ako uslovi odgovaraju. Pristup je odobren samo ako pokušaj konekcije ne pravi konflikt sa postavkama korisničkog naloga ili profila. Možemo da konfigurišemo profil u Edit Dial-in Profile dijalog boksu klikom na Edit Profile u Properties dijalog boksu za polisu. Možemo da konfigurišemo sledeće postavke u dijalog boksu:
- Dial-in Constraints,
- IP Properties,
- Multilink,
- Authentification,
- Encryption,
- Advanced.
Korišćenje Network Policy servera
NPS dozvoljava administratoru da centralno konfiguriše i upravlja Network polisama sa sledeće tri karakteristike: RADIUS Server, RADIUS Proxy, NAP Policy Server.
Network Policy Serveri se izgrađuju u Windows Server 2008 mrežama da bi se konfigurisale Network Access Polise kroz celu organizaciju. Network Policy Server (NPS) je glavna komponenta u Network Access Protection. Ova lekcija se koncentriše na korišćenje NPS-a kao RADIUS servera ili kao RADIUS klijenta, koji je takođe poznat kao RADIUS Proxy. Isti server može da funkcioniše kao RADIUS Server i kao RADIUS Proxy.
NPS kao RADIUS Server: Kada organizacija ima više od jednog Remote Access servera, administrator može da konfiguriše server koji ima NPS instaliran da radi kao RADIUS Server i nakon toga konfiguriše sve Remote Access servere da rade kao RADIUS klijenti. Prednost ove konfiguracije je to što je Network Policy Management (upravljanje mrežnim polisama) centralizovano.
Kada se RADIUS koristi kao provajder autentifikacije za RAS servere, zahtevi za konekcijama se šalju u RADIUS Request formatu ka RADIUS serveru. RADIUS Server odrađuje autentifikaciju i autorizaciju i nakon toga šalje ove informacije nazad ka RAS serveru. RADIUS Server mora da bude član domena aktivnog direktorijuma, ali RAS VPN server koji šalje zahteve za autentifikacijom ka RADIUS serveru može biti stand-alone kompjuter.
NPS & RADIUS klijenti: RADIUS klijenti su Network Access Serveri kao što su na primer VPN serveri, Wireless access points & 802.1X autentifikacioni prekidači. Mada se kompjuteri koji pristupaju ovim Network Access serverima nazivaju Remote Access klijenti, oni nisu RADIUS klijenti. RADIUS klijenti nude mrežni pristup drugim hostovima.
Da bismo konfigurisali RADIUS klijenta koristeći NPS, potrebno je otvorimo Network Policy Server konzolu iz Administrative Tools menija. Desni klik na Radius Clients i kliknemo na New RADIUS Client. Ovo će nam otvoriti dijalog boks koji sadrži sledeće konfiguracione informacije:
- Friendly Name,
- Address (IP or DNS),
- Vendor Name ,
- Shared Secret.
NPS kao RADIUS proxy: RADIUS proxy rutiraju RADIUS poruke između Remote Access servera koji su konfigurisani da rade kao RADIUS klijenti i RADIUS servera koji odrađuje autentifikaciju, autorizaciju i Accounting. Kada je konfigurisan kao RADIUS proxy, NPS će zapisivati informacije u Accounting logu koje se odnose na poruke koje propušta od RAS klijenata ka RADIUS serverima. NPS funkcioniše kao RADIUS klijent kada je konfigurisan kao RADIUS proxy.
Network Policy Server: NPS nam dozvoljava da kreiramo i postavljamo Organization-wide polise mrežnog pristupa za zdravlje klijenata (Clients health), za autentifikaciju i autorizaciju. Takođe, možemo da koristimo NPS kao RADIUS proxy da prosleđujemo zahteve za konekcijama ka NPS-u ili drugim RADIUS serverima koje smo konfigurisali u Remote RADIUS server grupama.
Scenarija za korišćenje Network Policy servera
Možemo da koristimo NPS u Windows Server 2008 kao RADIUS server ili kao RADIUS proxy.
RADIUS Server: Kao RADIUS server NPS odrađuje centralizovanu autentifikaciju, autorizaciju i Accounting za mnoge tipove mrežnog pristupa koji uključuju Wireless, Authentication Switch, Dial-up i VPN udaljeni pristup i Ruter-to-Ruter konekcije.
RADIUS proxy: Kao RADIUS proxy, NPS prosleđuje autentifikacione i Accounting poruke ka drugim RADIUS serverima.