Geek School Learning Windows 7 - Accesso remoto
Nell'ultima parte della serie abbiamo esaminato come è possibile gestire e utilizzare i computer Windows da qualsiasi luogo purché ci si trovi sulla stessa rete. Ma cosa succede se non lo sei?
Assicurati di controllare gli articoli precedenti in questa serie di Geek School su Windows 7:
- Presentazione di How-To Geek School
- Aggiornamenti e migrazioni
- Configurazione dei dispositivi
- Gestione dei dischi
- Gestione delle applicazioni
- Gestire Internet Explorer
- Nozioni di base sull'indirizzamento IP
- Networking
- Rete wireless
- firewall di Windows
- Amministrazione remota
E rimanete sintonizzati per il resto della serie tutta questa settimana.
Protezione accesso alla rete
Network Access Protection è il tentativo di Microsoft di controllare l'accesso alle risorse di rete in base alla salute del client che tenta di connettersi a loro. Ad esempio, nella situazione in cui sei un utente portatile, potrebbero trascorrere molti mesi in cui sei in viaggio e non collegare il laptop alla rete aziendale. Durante questo periodo non è garantito che il tuo laptop non venga infettato da virus o malware o che tu abbia ricevuto anche aggiornamenti delle definizioni antivirus.
In questa situazione, quando si ritorna in ufficio e si connette la macchina alla rete, NAP determinerà automaticamente lo stato della macchina rispetto a un criterio impostato su uno dei server NAP. Se il dispositivo collegato alla rete fallisce l'ispezione sanitaria, viene automaticamente spostato in una sezione super ristretta della rete chiamata zona di riparazione. Quando ci si trova nella zona di riparazione, i server di riparazione tenteranno automaticamente di correggere il problema con la macchina. Alcuni esempi potrebbero essere:
- Se il firewall è disabilitato e la politica richiede che sia abilitato, i server di riparazione abiliteranno il firewall per te.
- Se la propria politica sanitaria stabilisce che è necessario disporre degli ultimi aggiornamenti di Windows e ciò non avviene, si potrebbe avere un server WSUS nella zona di riparazione che installerà gli ultimi aggiornamenti sul client.
Il tuo computer verrà riportato alla rete aziendale solo se ritenuto idoneo dai server NAP. Esistono quattro diversi modi per far rispettare NAP, ognuno con i suoi vantaggi:
- VPN - L'utilizzo del metodo di imposizione VPN è utile in un'azienda in cui i telelavoratori lavorano da remoto da casa, utilizzando i propri computer. Non puoi mai essere sicuro di quale malware possa essere installato su un PC su cui non hai il controllo. Quando si utilizza questo metodo, lo stato di integrità del client verrà verificato ogni volta che viene avviata una connessione VPN.
- DHCP - Quando si utilizza il metodo di applicazione DHCP, a un client non verranno assegnati indirizzi di rete validi dal server DHCP finché non saranno stati ritenuti integri dall'infrastruttura Protezione accesso alla rete..
- IPsec - IPsec è un metodo per crittografare il traffico di rete utilizzando i certificati. Sebbene non sia molto comune, è possibile utilizzare IPsec anche per applicare Protezione accesso alla rete.
- 802.1x - 802.1x è talvolta chiamato anche autenticazione basata su porta ed è un metodo per autenticare i client a livello di switch. Utilizzare 802.1x per applicare una politica NAP è una pratica standard nel mondo di oggi.
Connessioni di accesso remoto
Per qualche ragione, in questi giorni, Microsoft vuole ancora che tu sappia di quelle primitive connessioni dial-up. Le connessioni dial-up utilizzano la rete telefonica analogica, anche nota come POTS (Plain Old Telephone Service), per fornire informazioni da un computer a un altro. Lo fanno usando un modem, che è una combinazione di parole che modulano e demodulano. Il modem viene collegato al PC, normalmente utilizzando un cavo RJ11, e modula i flussi di informazioni digitali dal PC in un segnale analogico che può essere trasferito attraverso le linee telefoniche. Quando il segnale raggiunge la sua destinazione, viene demodulato da un altro modem e trasformato in un segnale digitale che il computer può capire. Per creare una connessione dial-up, fare clic con il tasto destro sull'icona di stato della rete e aprire il Centro connessioni di rete e condivisione.
Quindi fare clic su Imposta una nuova connessione o collegamento ipertestuale di rete.
Ora scegli di impostare una connessione remota e fare clic su Avanti.
Da qui puoi inserire tutte le informazioni richieste.
Nota: se ottieni una domanda che richiede di impostare una connessione dial-up durante l'esame, fornirà i dettagli pertinenti.
Reti private virtuali
Le reti private virtuali sono tunnel privati che puoi stabilire su una rete pubblica, ad esempio Internet, in modo da poterti collegare in modo sicuro a un'altra rete.
Ad esempio, è possibile stabilire una connessione VPN da un PC sulla rete domestica, alla rete aziendale. In questo modo sembrerebbe che il PC sulla tua rete domestica fosse davvero parte della tua rete aziendale. In effetti, puoi persino collegarti a condivisioni di rete e, ad esempio, se avessi preso il tuo PC e collegato fisicamente alla tua rete di lavoro con un cavo Ethernet. L'unica differenza è ovviamente la velocità: invece di ottenere la velocità Gigabit Ethernet che avresti se fossi fisicamente in ufficio, sarai limitato dalla velocità della tua connessione a banda larga.
Probabilmente ti starai chiedendo quanto siano sicuri questi "tunnel privati" poiché "tunnel" su Internet. Ognuno può vedere i tuoi dati? No, non possono, e questo perché crittografiamo i dati inviati tramite una connessione VPN, da cui il nome virtuale "privato" della rete. Il protocollo utilizzato per incapsulare e crittografare i dati inviati tramite la rete è a tua discrezione e Windows 7 supporta quanto segue:
Nota: Sfortunatamente queste definizioni dovrai conoscere a memoria per l'esame.
- PPTP (Point-to-Point Tunneling Protocol) - Il protocollo Point to Point Tunneling consente al traffico di rete di essere incapsulato in un'intestazione IP e inviato attraverso una rete IP, come ad esempio Internet.
- incapsulamento: I frame PPP sono incapsulati in un datagramma IP, utilizzando una versione modificata di GRE.
- crittografia: I frame PPP sono crittografati utilizzando Microsoft Point-to-Point Encryption (MPPE). Le chiavi di crittografia vengono generate durante l'autenticazione in cui vengono utilizzati i protocolli Microsoft Challenge Handshake Authentication Protocol versione 2 (MS-CHAP v2) o Extensible Authentication Protocol-Transport Layer Security (EAP-TLS).
- Layer 2 Tunneling Protocol (L2TP) - L2TP è un protocollo di tunneling sicuro utilizzato per il trasporto di frame PPP utilizzando il protocollo Internet, è parzialmente basato su PPTP. A differenza di PPTP, l'implementazione Microsoft di L2TP non utilizza MPPE per crittografare i frame PPP. Invece L2TP utilizza IPsec in modalità di trasporto per i servizi di crittografia. La combinazione di L2TP e IPsec è nota come L2TP / IPsec.
- incapsulamento: I frame PPP vengono prima avvolti con un'intestazione L2TP e quindi un'intestazione UDP. Il risultato viene quindi incapsulato utilizzando IPSec.
- crittografia: I messaggi L2TP sono crittografati con crittografia AES o 3DES utilizzando le chiavi generate dal processo di negoziazione IKE.
- Secure Socket Tunneling Protocol (SSTP) - SSTP è un protocollo di tunneling che utilizza HTTPS. Poiché la porta TCP 443 è aperta sulla maggior parte dei firewall aziendali, questa è un'ottima scelta per quei paesi che non consentono le tradizionali connessioni VPN. È anche molto sicuro poiché utilizza i certificati SSL per la crittografia.
- incapsulamento: I frame PPP sono incapsulati nei datagrammi IP.
- crittografia: I messaggi SSTP sono crittografati tramite SSL.
- Scambio chiavi Internet (IKEv2) - IKEv2 è un protocollo di tunneling che utilizza il protocollo IPsec Tunnel Mode sulla porta UDP 500.
- incapsulamento: IKEv2 incapsula i datagrammi utilizzando le intestazioni IPSec ESP o AH.
- crittografia: I messaggi vengono crittografati con crittografia AES o 3DES utilizzando le chiavi generate dal processo di negoziazione IKEv2.
Requisiti del server
Nota: ovviamente è possibile configurare altri sistemi operativi come server VPN. Tuttavia, questi sono i requisiti per l'esecuzione di un server VPN Windows.
Per consentire alle persone di creare una connessione VPN alla rete, è necessario disporre di un server che esegue Windows Server e ha i seguenti ruoli installati:
- Routing e accesso remoto (RRAS)
- Network Policy Server (NPS)
Sarà inoltre necessario configurare DHCP o allocare un pool IP statico che le macchine che si connettono tramite VPN possano utilizzare.
Creazione di una connessione VPN
Per connettersi a un server VPN, fare clic con il tasto destro sull'icona di stato della rete e aprire il Centro connessioni di rete e condivisione.
Quindi fare clic su Imposta una nuova connessione o collegamento ipertestuale di rete.
Ora scegli di connetterti a un posto di lavoro e fai clic su Avanti.
Quindi scegli di utilizzare la tua connessione a banda larga esistente.
P
Ora è necessario inserire il nome IP o DNS del server VPN sulla rete a cui si desidera connettersi. Quindi fare clic su Avanti.
Quindi inserire il nome utente e la password e fare clic su Connetti.
Una volta connesso, sarai in grado di vedere se sei connesso a una VPN facendo clic sull'icona di stato della rete.
Compiti a casa
- Leggi il seguente articolo su TechNet, che ti guida attraverso la pianificazione della sicurezza per una VPN.
Nota: i compiti di oggi sono un po 'fuori portata per l'esame 70-680, ma ti forniranno una solida comprensione di ciò che accade dietro la scena quando ti connetti a una VPN da Windows 7.
Se avete domande, potete twittarmi @taybgibb o semplicemente lasciare un commento.