Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig Men hur fungerar tekniken bakom den välpolerade ytan?



Relevanta dokument
Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Systemkrav och tekniska förutsättningar

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Modul 3 Föreläsningsinnehåll

Övningar - Datorkommunikation

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

Startanvisning för Bornets Internet

Win95/98 Nätverks Kompendium. av DRIFTGRUPPEN

Instruktion: Trådlöst utbildningsnät orebro-utbildning

SkeKraft Bredband Installationsguide

Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Instruktion: Trådlöst nätverk för privata enheter

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer. Lisa Hallingström Paul Donald

Innehåll. Dokumentet gäller från och med version

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

LAN Port: 4 X RJ45 10/100BASE-TX Fast Ethernet med Auto MDI/MDIX. Resetknapp: Återställer enheten till fabriks inställningar

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

Felsökningsguide för Windows XP

VPN tjänst för Stockholm Stad

DGC IT Manual Citrix Desktop - Fjärrskrivbord

Internet OMBORD PÅ VÅRA TÅG

Din guide till en säkrare kommunikation

Internet ombord på våra tåg

ÅTVID.NET Startinstruktioner

Norman Endpoint Protection (NPRO) installationsguide

Systemkrav. Åtkomst till Pascal

Snabbguide IP-kamera Kom igång med din kamera

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

IPv6 Jonas Aronsson 3TEa

Kursplaner för Administartör IT-System Innehåll

FIBER INSTALLATIONSHANDBOK VERSION 1.0. Felanmälan och support nås på Alla dagar 08:00-22:00

Compose Connect. Hosted Exchange

Installationsanvisning För dig som har valt fast IP-Adress

Konfigurering av eduroam

Instruktioner för Internetanslutning

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Installationsguide Junos Pulse för MAC OS X

Ändringar i samband med aktivering av. Microsoft Windows Vista

Installationsguide Junos Pulse för iphone/ipad

IPv6 och säkerhet.

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Installation och setup av Net-controller AXCARD DS-202

KARLSBORGS ENERGI AB FIBER INSTALLATIONSHANDBOK REV

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Säkra trådlösa nät - praktiska råd och erfarenheter

Telia Connect för Windows

Konfigurera Routern manuellt

Quick Start CABAS. Generella systemkrav CABAS / CAB Plan. Kommunikation. Säkerhet

Konfigurera Routern manuellt

Data Sheet - Secure Remote Access

KARLSBORGS ENERGI AB INTERNET KABEL-TV INSTALLATIONSHANDBOK REV

VPN (PPTP) installationsguide för Windows 7

ELMIA WLAN (INTERNET)

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Hjälp! Det fungerar inte.

Konfiguration av synkronisering fo r MSB RIB Lupp

DATA CIRKEL VÅREN 2014

Konfiguration av LUPP synkronisering

TCP/IP och Internetadressering

Installationsanvisning För dig som har dynamisk IP-Adress

EXTERN ÅTKOMST TILL SOCIALA SYSTEM FÖR UTFÖRARE INOM ÄLDREOMSORGEN OCH OMSORGEN OM FUNKTIONSHINDRADE

Installationsanvisningar

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Fast internet. Installationshandbok 5 enkla steg för att komma igång

Unix-miljöer i större sammanhang

ANVÄNDAR-GUIDE för Bränneriets LAN

SITHS inloggning i AD

Kundverifiering av SPs digitala signaturer

Program för skrivarhantering

Christer Scheja TAC AB

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

Rekommendationer teknisk lösning_samsa_ ver

Sokigo AB OVK 2.0. Pentium- eller AMD-processor (x64 processor) på 1,6 GHz Dual Core eller motsvarande.

Att sätta upp en IPsec-förbindelse med NAT. Lisa Hallingström Paul Donald

Design Collaboration Suite

Konfigurering av Intertex SurfinBird IX78 tillsammans med IP-växlar och Telia SIP-anslutning

Grundläggande datavetenskap, 4p

Installationsguide / Användarmanual

Handbok för nätverk. För säker och korrekt användning, läs igenom säkerhetsinformationen i "Handbok för kopiator" innan du använder maskinen.

Varför och hur införa IPv6 och DNSSEC?

Vilket moln passar dig bäst?

Varför ska vi införa IPv6 och hur gjorde PTS?

Installationsmanual för Tyfon ADSL

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient)

Capitex dataservertjänst

Innehållsförteckning:

Webmail instruktioner

Extern åtkomst till Sociala system

Hemmanätverk. Av Jan Pihlgren. Innehåll

Program för skrivarhantering

INKOPPLINGSBESKRIVNING KABEL-TV-MODEM

Installationsanvisning Bredband

Handbok för installation av programvara

Transkript:

WINDOWSdig Tekniken bakom Direct Access Så kopplar pl du upp g med Direct Access Direct Access Bakom kulisserna på Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig resurser sig. Men hur fungerar tekniken bakom den välpolerade ytan? Användaren startar sin pc som vanligt, läser e-post och får en länk som pekar på ert företags intranet. Han klickar på länken, webbläsaren startar och rätt sida kommer upp. Han går in i Utforskaren och går in i sin hemkatalog och öppnar ett Excel-ark med försäljningsinformation. Användaren noterar också att hans antivirusapplikation uppdateras med nya signaturer. Så långt inget märkvärdigt, förutom att användaren befinner sig på ett internetcafé i Spanien. Utan något behov av att manuellt etablera någon form av vpn-förbindelse kan användaren arbeta precis som om han satt på jobbet. Hemligheten allt det här heter Direct Access (DA), en ny funktion som ingår i Windows Server 2008 R2 och Enterprise- och Ultimate-versionerna av Windows 7. Vi ska i denna artikel titta närmare på tekniken som möjliggör scenariot ovan. Avgränsa trafiken Direct Access bygger till hundra procent på ip v 6. De servrar som en användare ska kunna nå på det interna nätet måste kunna kommunicera med det protokollet eller så måste vi ha något form av nat-64-enhet som gör en protokollkonvertering, men för högsta säkerhet är att använda ip v 6 på det interna nätverket att föredra. Det finns flera tekniker som hjälper oss på klientsidan, som rimligen kommer att befinna sig på ett ip v 4-nät, att övervinna problemet att ip v 6 ännu inte är särskilt vanligt på internet. Vi TechWorld 5-6 2010 techworld.se 75

Övriga internetservrar Företagsnät Direct Accessklient (Win 7 Enterprise eller Ultimate) Automatiskt skapad ipsec-tunnel Direct Access server (Windows Server 2008 R2) Dc, dns Filserver mm Ren ipv6/ 6to4/ teredo/ ip-https Internet Tunnel direkt över ipv4 eller kapslad i https Crl Nls En Direct Access-klient kan använda flera tekniker för att komma i kontakt med Direct Access-servern. Tunneln etableras automatiskt och endast trafik som är ämnad för företagsnätet går genom tunneln. Trafik som är ämnad för internet behöver då inte belasta företagets bandbredd eller övriga resurser. återkommer till dessa tekniker nedan. En DA-lösning kan arbeta på två olika sätt. Antingen terminerar den själv de krypterade förbindelserna och skickar sedan vidare trafiken okrypterat på nätverket, eller så agerar den endast proxy och vidareförmedlar trafiken till avsedd destination internt. I det senare fallet kan man också välja att avgränsa trafiken till att externa användare endast kan nå just en viss grupp av interna servrar. XP och Windows 2003 har stöd för att installera ip v 6, men många tjänster fungerar inte med protokollet. Du 6 saker att tänka på när du inför Direct Access Certifikat: Kan befintlig pki användas? 1 Hur ska din ca konfigureras och hur ska crl publiceras? IPv6: Kan dina interna servrar nås via ip v 2 6? Fungerar alla tillämpningar med ip v 6? Active Directory: Är det god ordning i 3 ditt AD? Kan du på ett enkelt vis låta gpo nå rätt omfång av datorer? bör också se till att applikationerna som ska nås inte har något problem med att underliggande protokoll är ip v 6. Du kan antingen använda en ren ip v 6-protokollstack eller protokollet isatap för att ge möjlighet att använda ip v 6, och du bör göra det även om din övriga nätverksutrustning ännu inte stödjer ip v 6. Selektiv åtkomst: Ska användare nå 4 allt på intranätet eller bara vissa servrar? Rätt OS: Det är bara Windows 7 Enterprise 5 eller Ultimate som kan använda DA. 6 Nls: Se till att nls alltid är tillgänglig. Om url:en inte är tillgänglig tror klienten att den är den på är internet på internet och du och kommer du kommer att få att stora få problem stora med problem alla interna med alla klienter. interna klienter. Hårdare krav med gpo Om du väljer alternativet isatap används dns för att ta reda på ip-adressen till den router som översätter trafik mellan ip v 6 och ip v 4. DA registrerar automatiskt namnet isatap i dns om det inte redan finns någon isataprouter registrerad på nätverket. I DA finns en intern certifikatauktoritet (ca) som utfärdar certifikat som används vid den första ipsecförhandlingen när en klient ska ansluta till nätet. Certifikatet ska vara utfärdat av en betrodd part, och använder man en intern CA måste man se till att crl publiceras korrekt och kan nås både internt och externt. Både klient- och DA-server genomför en revokeringskontroll när förbindelsen in till det interna nätet etableras, men den är, märkligt nog, av den mer avslappnade arten. Ingen av parterna kräver att få genomföra en realtidskontroll av CRL för att anslutningen ska lyckas, men det går att ställa hårdare krav med gpo. Certifikatet ska stödja nyckelanvändning för klientautentisering standardcertifikatet för datorer i en Microsoft Enterprise-ca duger bra och är lätt att sprida med gpo. En klient konfigureras för DA med ett eget konfigurationsprogram på DA-servern. Det resulterar i två gpo som tillämpas på rätt omfång av ser- 76 TechWorld 4 2010 techworld.se

Direct Access i praktiken Martin Skillingshage, it-koordinator på Ventelo Sverige AB. Av vilken anledning införde ni Direct Access och vilken nytta har det givit er i praktiken? Vi stod inför att byta ut våra Windows 2003 Server till Windows Server 2008 R2 och valde att införa Direct Access samtidigt (med tanke på att Windows 7 stod för dörren). Nyttan är att inte vara beroende av vpn-applikationer samt att vår it-helpdesk kan fjärrstyra klienter över Direct Access. Stötte ni på några tekniska bekymmer under införandet? Det var inga problem över huvud taget. Företaget som hjälpte oss var väl förberedda och kompetenta. Har kravet på ip v 6 medfört några problem internt? Till ämpningarna hade inga problem att fungera med ett nytt protokoll? Vi använde UAG/TMG för att översätta ip v 4 till ip v 6, vilket gjort att vi klarat oss från sådana problem. Vilka råd har ni att ge till andra företag som funderar på att införa Direct Access? Om man inte har tid och kompetens själv hyr in den. Och man snappar alltid upp saker från konsulter som man kan ha användning för, inom väldigt spridda områden. vrar och klienter via AD. När den konfiguerade klienten sedan startar genomför den tidigt i startsekvensen en kontroll för att ta reda på om den befinner sig på det interna nätverket eller inte. Om den servern, som kallas nls (network location server), inte kan nås så anser klienten att den befinner sig på internet. Den går då vidare och tar kontakt med den DA-server som den konfigurerats att använda. Det är alltså viktigt att url för nls inte kan nås från internet eftersom klienten då inte kan ta reda på var den befinner sig. Klienten visar upp sitt datorcertifikat för DA-servern och påbörjar fas 1 i etableringen av en ipsec-tunnel som i standardutförandet termineras i DAservern. Efter revokeringskontroll av certifikatet och etablering av en säker förbindelse mellan de båda punkterna påbörjas fas 2 i ipsec-förhandlingen, i vilken en säker datakanal etableras för överföring av den data som användaren vill överföra. Datakanalen krypteras med aeskryptoalgoritm med 192-bitarsnyckel. Den säkrare cbc-modellen av aes används i stället för det något mer osäkra ecb-modellen. Krypteringen i den här formen av ipsec är en av starkaste som existerar på marknaden i dag. Användningen av en 192-bitarsnyckel är godkänd av amerikanska staten för kryptering av information upp till nivån top secret, alltså den högsta nivån. Tunneltrafik För att klienten ska veta vilken trafik som ska skickas genom tunneln och vilken som ska skickas direkt ut på internet används nrpt, name resolution policy table, en tabell som anger vilka resurser som är interna samt vilken dns som ska användas för att genomföra namnupplösning på just de resurserna. Det är din vanliga, interna dns som används för namnupplösning och den ska kunna innehålla information om både ip v 4- och ip v 6-adresser. Nrpt innehåller ett undantag för att klienten ska veta att den ska försöka kontakta nls-servern direkt. Det enda sättet att konfigurera nrpt är via gpo, det finns inget kommandoradsverktyg. Just den funktionen är en stor fördel med DA jämfört med många befintliga vpn-lösningar, som i "Krypteringen är en av starkaste som existerar på marknaden i dag." dag tvingar användaren att skicka all trafik via tunneln, även sådan som egentligen är ämnad för internet. För att minska trycket på den interna lösningen går trafik ämnad för internet direkt dit från klienten utan att tvingas genom vpn-förbindelsen. Om man absolut vill kan man tvinga DA att skicka all trafik genom sin förbindelse, även om den är ämnad för internet. Om något bekymmer uppstå med DA-anslutningen kan du ladda hem ett litet verktyg från Microsoft, Direct Access Connectivity Assistant. Det placerar sig i systemfältet och anger hur förbindelsen mår och den kan samla in felsökningsinformation som användaren kan e-posta till supporten om det skulle behövas. Tre sätt att hantera trafiken I dag är det är högst osannolikt att klienten kommer att få en ren ip v 6-adress på ett internetcafé. Därför behövs någon form av teknik för att låta ip v 6-trafik färdas över ip v 4. Direct Access har tre olika sätt att hantera detta, och de testas i följande ordning: TechWorld 5-6 2010 techworld.se 77

DA-klient kan ansluta till intranätet på tre olika sätt; 6to4, Teredo eller ip-https-trafik. All trafik för den interna domänen namnupplöses med en intern dns. Här ser du också också undantaget för nls-servern. Klienten får all sin konfiguration via gpo efter DA-servern installerats. Här ser vi inställningar för adressområde för nrpt. 1. 6to4. Om klienten har fått en skarp adress (det vill säga en icke- RFC1918-adress) skapas en ip v 6-adress baserad på den erhållna adressen, och klienten tar direktkontakt med DA-servern för etablering av förbindelsen. Via gpo har klienten fått uppgift om vilken ip v 6-default Ordlista gateway som ska användas den informationen kan också ses med hjälp av kommandot ipconfig /all på klienten. Porten sätts till att peka på DAservern i stället för standardvalet som är 6to4.ipv6.microsoft.com, den adress som Microsoft erbjuder för att ge kontakt med ip v 6-internet. 2. Teredo. Om klienten fått en intern adress (alltså en RFC1918-baserad sådan) kan inte 6to4 användas eftersom den tekniken inte fungerar via nat. I stället används en virtuell anslutning som kallas för Teredo interface som tilldelas en ip v 6-adress. En Teredo-adress består av flera delar t Ca, certification authority. Den egentliga funktion/produkt som utfärdar certifikat internt eller externt. t Crl, certificate revocation list. Lista över återkallade certifikat. t Gpo, group policy object. Objekt som används i katalogtjänsten Active Directory för att automatisk konfigurera en eller flera datorer eller användare med vissa inställningar. t Ipsec, internet protocol security. Protokoll för utbytande av certifikat och lösenord för att etablera en synnerligen starkt krypterad och säker förbindelse mellan två punkter. t Isatap, intra-site automatic tunnel addressing protocol. Protokoll för att generera ip v 6-adresser från en redan tilldelad ip v 4-adress. Router för att förmedla paket mellan webbplatser hittas via isatapnamn registrerat i dns. t Nat, network adress translation. Gör det möjligt för ett stort antal interna RFC1918-adresser att nå resurser på internet via ett fåtal externa adresser. t Nls, network location server. Används här för att en klient ska kunna avgöra om den befinner sig på ett internt eller externt nätverk. t Nrpt, name resolution policy table. Anger vilka domäner som ska anses interna och därmed vilka resurser som ska försöka nås via etablerad tunnel. t Pki, public key infrastructure. Övergripande namn för all intern hantering av certifikat. t RFC1918. Regelverk som anger vilka privata serier av adresser som kan användas internt på ett företag. Används ofta bakom en brandvägg som genomför nat. 78 TechWorld 5-6 2010 techworld.se

Default gateway för 6to4 är DA-servern, vilken konfigurerats med gpo. 6to4 ip v 6-adressen (2002:) används för att skapa en ipsec-tunnel. Arbete med Teredo då klienten befinner sig bakom en nat-brandvägg. Notera att ingen speciell default gateway pekats ut. Klienten använder här ip-https för att ta kontakt med DA-servern. Ipsec behövs för säker anslutning till DA-servern. som tillsammans bygger upp en komplett ip v 6-adress. En del är en utpekad Teredo-server, i vårt fall DA-servern, som används för tunnling och routning av Teredo-trafik och för att servern ska kunna ta aktiv kontakt med klienten. En annan del är klientens ip v 4-adress i hexadecimalt format. Klienten får den konfigurationen via gpo servervärdet är annars standardmässigt teredo.ipv6.microsoft.com. Teredo använder ip v 4-udp för att ta sig ut genom nat-brandväggar och fungerar i de flesta fall bra med existerande utrustning, men udp måste givetvis vara tillåtet. 3. Ip-https. Om ingen av de två första teknikerna fungerar så befinner du dig uppenbarligen bakom en brandvägg som inte tillåter utgående udp eller av okänd anledning stoppar vår trafik. Klienten försöker då som sista utväg ta kontakt med DAservern via https. Den letar efter en url som konfigurerats med gpo, till exempel https://da1.contoso.com: 443/IPHTTPS, som fångar upp trafiken och agerar proxy för ip v 6-trafiken. Det här sättet är det mest resurskrävande eftersom så många lager är inblandade som vart och ett ska genomföra sin kryptering och dekryptering. De första två varianterna är därför att föredra. "Direct Access är en av de bästa nyheterna i Windows Server 2008 R2 och Windows 7." Minska supportsamtalen Direct Access kräver en hel del infrastrukturell konfiguration, men är sedan relativt enkelt att använda. För många företag är de största utmaningarna på kort sikt att utforma en väl genomtänkt pki. En stor utmaning på medellång sikt är att gradvis gå över till en ren ip v 6-topologi och samtidigt fasa ut ip v 4. Affärsnyttan med DA är uppenbar. Du kan troligen reducera antalet supportsamtal och minska mängden n mjukvara från separata leverantörer i och med att funktionerna i DA är inbyggda i moderna operativsystem från Microsoft, som de flesta använder sig av. För slutanvändaren blir det oviktigt var han befinner sig när han arbetar, upplevelsen och säkerheten är den samma. Det är i sanning en smakfull kombination Direct Access är en av de bästa nyheterna i Windows Server 2008 R2 och Windows 7. SÅ GÅR DU VIDARE technet.microsoft.com/en-us/ network/dd420463.aspx Den givna startpunkten för dig som vill veta mer om Direct Access. Här finns all upptänklig teknisk information. en.wikipedia.org/wiki/directaccess En enkel och lättläst definition av Direct Access. Henrik Elmsjö är systemkonsult med ett knippe certifieringar. Du kan nå honom på henrik.elmsjo@ techworld.se. TechWorld 5-6 2010 techworld.se 79

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss