4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff



Ähnliche Dokumente
Einrichtung von VPN-Verbindungen unter Windows NT

Step by Step VPN unter Windows Server von Christian Bartl

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Virtual Private Network Ver 1.0

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

NAS 323 NAS als VPN-Server verwenden

Virtual Private Network

HostProfis ISP ADSL-Installation Windows XP 1

ISA Einrichtung einer DFUE VErbindung - von Marc Grote

Installationsanleitung adsl Einwahl unter Windows 8

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

WLAN und VPN im b.i.b. mit Windows (Vista Home Premium SP1) oder Windows 7

mmone Internet Installation Windows XP

R-ADSL2+ EINRICHTHINWEISE UNTER WINDOWS 2000

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

Guide DynDNS und Portforwarding

Step by Step Webserver unter Windows Server von Christian Bartl

Collax PPTP-VPN. Howto

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

Anbindung des eibport an das Internet

DFÜ-Netzwerk öffnen Neue Verbindung herstellen Rufnummer einstellen bundesweit gültige Zugangsnummer Benutzererkennung und Passwort

Startmenü So einfach richten Sie surfen manuell auf Ihrem PC oder Notebook ein, wenn Sie Windows XP verwenden.

Einrichtung einer VPN-Verbindung (PPTP) unter Windows XP

Dokumentation VPN-Server unter Windows 2000 Server

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Installationsanleitung für ADSL mit Netzwerkanschluß unter Windows Millennium:

ANYWHERE Zugriff von externen Arbeitsplätzen

Konfiguration von PPTP unter Mac OS X

NAS 322 NAS mit einem VPN verbinden

How-to: Webserver NAT. Securepoint Security System Version 2007nx

START - SYSTEMSTEUERUNG - SYSTEM - REMOTE

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Das Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Tutorial -

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

2 Konfiguration von SharePoint

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

ISA Server 2004 Einzelner Netzwerkadapater

Modem-Einwahl in die Universität Koblenz-Landau, Campus Koblenz unter Windows XP

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

R-ADSL2+ Einrichthinweise unter Windows 98/ME

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

Installationsanleitung xdsl Privat unter Windows XP PPTP Version

VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Collax NCP-VPN. Howto

terra CLOUD IaaS Handbuch Stand: 02/2015

Firewalls für Lexware Info Service konfigurieren

Aufrufen des Konfigurators über eine ISDN- Verbindung zur T-Eumex 628. Eine neue ISDN-Verbindung unter Windows XP einrichten

Shellfire PPTP Setup Windows 7

Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS

Windows 98 / Windows NT mit NCP WAN Miniport-Treiber 23. Oktober 1998

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

2 Datei- und Druckdienste

WLAN mit WPA (wpa4fh)

Praktikum IT-Sicherheit

1 Schritt: Auf der Seite einloggen und. ODER Zertifikat für VPN, wenn sie nur VPN nutzen möchten

Anleitung zur Nutzung des SharePort Utility

Netzwerkinstallation WaWi-Profi3

Dieses Dokument erläutert die Einrichtung einer VPN-Verbindung zwischen einem LANCOM Router (ab LCOS 7.6) und dem Apple iphone Client.

Konfigurationsbeispiel USG


Windows Server 2012 RC2 konfigurieren

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Firewalls für Lexware Info Service konfigurieren

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Einwahlverbindung unter Windows XP

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Leitfaden einrichtung Windows Live Mail Stand vom:

Mit jedem Client, der das Exchange Protokoll beherrscht (z.b. Mozilla Thunderbird mit Plug- In ExQulla, Apple Mail, Evolution,...)

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY

Technical Note ewon über DSL & VPN mit einander verbinden

Netzwerkeinstellungen unter Mac OS X

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

POP3 über Outlook einrichten

1. Der Router ist nicht erreichbar Lösungsansatz: IP Adresse des Routers überprüfen ( entweder irgendwo auf dem Gerät aufgeklebt oder im Handbuch )

DSL Konfigurationsanleitung PPPoE

SaaS Exchange Handbuch

mmone Internet Installation Windows Vista

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Lizenzen auschecken. Was ist zu tun?

Benutzerhandbuch MedHQ-App

Konfiguration von Exchange 2000 zum versenden und empfangen von Mails & Lösung des SEND after POP Problems

Pädagogische Hochschule Thurgau. Lehre Weiterbildung Forschung

Übung - Konfigurieren einer Windows Vista-Firewall

VPN mit Windows Server 2003

Einführung Inhaltsverzeichnis

HTBVIEWER INBETRIEBNAHME

Kurzanleitung zum Einrichten des fmail Outlook Addin

Ihre Internetadresse beim Versenden und Empfangen Ihrer s verwenden.

ADSL Installation Windows VISTA

Das nachfolgende Konfigurationsbeispiel geht davon aus, dass Sie bereits ein IMAP Postfach eingerichtet haben!

Schritt 1: Auswahl Schritt 3 Extras > Konten Schritt 2: Konto erstellen Konto hinzufügen klicken

Windows Live Mail Konfiguration IMAP

Transkript:

4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless access o Configure firewall settings Quelle: Microsoft Lernziele: RAS VPN RADIUS Netzwerkauthentifizierung Wireless Zugriff NAP 4.1 Einführung Der Netzwerkzugriff ist ein Thema, das immer mehr an Bedeutung gewinnt. Einerseits sind viele Mitarbeiter in den Firmen mobil unterwegs, und benötigen die Möglichkeit, auf die internen Ressourcen zugreifen zu können, andererseits ist die Sicherheit hierbei ein nicht zu vernachlässigendes Problem. Windows Server 2008 bietet für diesen Bereich gute und innovative Lösungen, die Sie im Detail kennen sollten. 311

RAS 4.2 RAS RAS bedeutet Remote Access Service. Sie benötigen einen RAS-Server, damit von außen auf ein Firmennetz zugegriffen werden kann. Es gibt mehrere Möglichkeiten, warum Sie auf ein Firmennetz von außen zugreifen müssen: Ein einzelner Benutzer wählt sich über das Internet ins Firmennetz ein Ein einzelner Benutzer wählt sich direkt ins Firmennetz ein Eine Verbindung eines externen Netzes zum Firmennetz über das Internet Eine direkte Verbindung eines externen Netzes zum Firmennetz Abbildung 4.1: RAS 4.2.1 Der Zugriff auf ein Netzwerk Aufgrund der zwei verschiedenen Möglichkeiten, auf den RAS-Server zugreifen zu können, gibt es zwei verschiedene Möglichkeiten, eine Verbindung aufzubauen DFÜ VPN 312

DFÜ-Verbindung Eine DFÜ-Verbindung ist eine direkte Anwahl an das Firmennetz mithilfe einer Telefonnummer. Diese Verbindungsart kann recht teuer sein, hat aber den Vorteil, dass eine dedizierte Leitung für die Kommunikation benutzt wird, und die Daten somit nicht so gefährdet sind, wie bei einer Übertragung über das Internet. Leider ist die Telefonleitung nicht direkt für die Übertragung von Daten geeignet, der eigentliche Einsatzbereich einer Telefonleitung ist die Übertragung von Sprache. Aus diesem Grund wird ein Protokoll benötigt, das die Übertragung von Daten über die Telefonleitung ermöglicht. Für diese Aufgabe stehen zwei verschiedene Protokolle zur Verfügung SLIP (Serial Line Interface) PPP (Point to Point Protocol) SLIP SLIP ist das ältere Protokoll. Für eine Verbindung wird eine TCP/IP Verbindung und eine statische IP-Adresse benötigt. SLIP wird von Windows Server 2008 nicht unterstützt, die Microsoft Clients dagegen können mit SLIP eine Verbindung aufbauen. PPP PPP ist das neuere Protokoll. PPP kann mit allen Arten von Netzwerken kommunizieren, NetBEUI, TCP/IP oder IPX/SPX. PPP wird von Microsoft sowohl auf der Clientseite als auch auf der Serverseite unterstützt. ACHTUNG! Microsoft unterstützt auf der Clientseite sowohl das ältere Protokoll SLIP, als auch das neuere Protokoll PPP, auf der Serverseite dagegen wird nur das Protokoll PPP unterstützt! Eine DFÜ-Verbindung einzurichten, ist sehr einfach. Sie öffnen bei einem 313

RAS Vista-Client das Netzwerk- und Freigabecenter und wählen Eine Verbindung oder ein Netzwerk einrichten. Abbildung 4.2: DFÜ-Verbindung einrichten Hier wählen Sie Verbindung mit dem Arbeitsplatz herstellen. Abbildung 4.3: Direkt wählen oder VPN Auf der nächsten Seite wählen Sie aus, ob Sie eine DFÜ- oder eine VPN- Verbindung herstellen möchten. 314

Direkt wählen bedeutet natürlich in diesem Fall das Erstellen einer DFÜ- Verbindung. Abbildung 4.4: Wahlparameter Nun geben Sie die Rufnummer ein, und entscheiden sich, ob Sie eine Smartcard verwenden wollen, oder nicht. Abbildung 4.5: Benutzername und Kennwort Natürlich werden auch Benutzername und Kennwort benötigt. 315

RAS VPN-Verbindung Eine VPN-Verbindung ist eine Verbindung zu einem RAS-Server, die das Internet zur Informationsübertragung nutzt. Auch hierbei wird prinzipiell die Telefonleitung benutzt, aber nur, um eine Verbindung zum Internet Service Provider herzustellen. Sie wählen sich also bei Ihrem Internetdienstanbieter ein. Von dort aus werden die Daten ins Internet weitergeleitet. Diese Art der Datenübertragung ist sehr günstig, aber leider nicht sehr sicher. Aus diesem Grund muss eine Möglichkeit gefunden werden, die Datenübertragung über einen VPN-Tunnel zu verschlüsseln. Für diese Verschlüsselung werden VPN-Protokolle benutzt. Auch hier gibt es mehrere Protokolle: PPTP (Point to Point Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) Funktion PPTP L2TP Header Komprimierung Nein Ja Tunnel Authentifizierung Nein Ja Eigene Verschlüsselung Ja Nein Kann mit IP-basierten Netzwerken benutzt Ja Ja werden Kann mit Netzwerken benutzt werden, die auf Frame Relay, X25 oder ATM basieren Nein Tabelle 4.1: Vergleich PPTP und L2TP Ja L2TP erscheint in allen Belangen besser, bis auf den wichtigsten: L2TP kann nicht verschlüsseln. Das ist aber kein Problem, denn L2TP erlaubt eine Verschlüsselung, die viel besser ist, als die eigene Verschlüsselung von PPTP. Mit L2TP ist es möglich, eine Verschlüsselung über IPSec zu machen. IPSec ist ein Industriestandard, und momentan wohl eine der sichersten Verschlüsselungen. Bei IPSec werden die Daten von der sendenden Netzwerkkarte bis zur empfangenden Netzwerkkarte verschlüsselt. 316

Versuchen Sie, wenn möglich, bei einem VPN immer L2TP zusammen mit IPSec zu benutzen. SSTP (Secure Socket Tunneling Protocol) Seit Windows Server 2008 und Windows Vista gibt es ein neues VPN- Protokoll: SSTP. SSTP ermöglicht die Verkapselung von PPP-Paketen (PPP = Point-to-Point- Protokoll) über HTTP. Damit haben wir die Möglichkeit, eine VPN-Verbindung durch eine Firewall einzurichten, ohne dass weitere Ports geöffnet werden müssen. SSTP benutzt standardmäßig Port 443, also den SSL-Port. Deswegen müssen Sie auf dem VPN-Server ein Computerzertifikat installieren, bei dem der Name des Antragstellers mit dem Hostnamen des VPN-Servers übereinstimmt. ACHTUNG! SSTP ist ein wirklich gutes VPN-Protokoll, da die Konfiguration der Firewall sehr einfach ist. Allerdings können Sie SSTP nur benutzen, wenn der VPN-Server Windows 2008 ist und der Client Windows Vista mit SP1. Das Herstellen einer VPN-Verbindung ist ebenfalls im Netzwerk- und Freigabecenter einzurichten. Sie wählen lediglich auf der entsprechenden Karteikarte VPN aus. Abbildung 4.6: VPN 317

RAS Danach definieren Sie den Endpunkt des VPN-Tunnels. Dies ist der RAS-Server der Firma. Sie können den Server mit dem Namen oder mit der IP-Adresse identifizieren. Abbildung 4.7: Endpunkt des VPN ACHTUNG! Die bessere Wahl ist es, den Zielrechner mit der IP-Adresse zu identifizieren, da dies der schnellere Weg ist, denn Sie benötigen keine Namensauflösung mehr. Das entsprechende VPN-Protokoll können Sie auf der Karteikarte Netzwerk einstellen. 4.2.2 Eingehende Verbindung (RAS-Server und VPN-Server) Eingehende Verbindungen werden im Netzwerk von einem Server entgegengenommen. Dieser Server ist die Schnittstelle für die Verbindung zwischen Intranet und Außenstellen. Damit dieser Server als RAS- oder VPN-Server fungieren kann, muss auf ihm der Dienst Routing und RAS als Rolle installiert und dann konfiguriert werden. 318

Abbildung 4.8: Rolle einrichten Konfigurieren von RAS Um einen Server als RAS- bzw. VPN-Server zu konfigurieren, öffnen Sie die Konsole Routing und RAS. Klicken Sie mit der rechten Maustaste auf den Namen des Servers und wählen Sie Routing und RAS konfigurieren und aktivieren. Abbildung 4.9: Routing und RAS aktivieren 319

RAS Im nächsten Schritt wählen Sie die Funktion aus. Abbildung 4.10: Auswahl der Serverfunktion Für einen RAS-Server wählen Sie den entsprechenden Punkt. Die nächste Frage ist die Auswahl, ob Sie einen RAS-Server VPN-Server oder eine Kombination beider Funktionen installieren möchten. 320

Abbildung 4.11: RAS und / oder VPN In jedem Fall müssen Sie nun die externe Schnittstelle angeben, das bedeutet, die Schnittstelle, über die sich die Clients einwählen werden. Abbildung 4.12: Auswahl der externen Schnittstelle 321

RAS Wenn Sie VPN gewählt haben, ist diese Schnittstelle an das Internet angeschlossen, und Sie können noch zusätzlich Paketfilter definieren. ACHTUNG! Diese Paketfilter sind nur eine rudimentäre Lösung! In einem professionellen Netzwerk sollte in jedem Fall eine professionelle Firewall zusätzlich konfiguriert sein! Die nächste Frage, die Sie beantworten müssen, ist die Zuteilung der IP- Adressen. Die Clients, die sich einwählen, können entweder ihre IP-Adressen aus einem statischen Pool erhalten, der auf dem RAS-Server definiert wird, oder vom firmeninternen DHCP-Server. Abbildung 4.13: Adresszuteilung Nun müssen Sie sich noch entscheiden, ob dieser RAS-Server ein RADIUS- Client sein soll, oder nicht. Über RADIUS (NAP) erfahren Sie weiter unten mehr. 322

Abbildung 4.14: RADIUS Wenn Sie die dynamische IP-Adressierung für die Clients gewählt haben, erhalten Sie nun eine Meldung, dass Sie einen DHCP-Relay-Agent auf der externen Schnittstelle definieren müssen. Abbildung 4.15: DHCP-Relay-Agent Konfigurieren des RAS-Servers Nun ist der RAS-Server installiert, Sie sollten sich nun mit der Konsole bekannt machen, und einige wichtige Konfigurationsmöglichkeiten kennenlernen. Alle Netzwerkschnittstellen, die Ihnen zur Verfügung stehen, werden Ihnen im Knotenpunkt Netzwerkschnittstellen angezeigt. 323

RAS Abbildung 4.16: Netzwerkschnittstellen Ebenfalls können Sie im Knotenpunkt Ports erkennen, dass in der Standardinstallation bereits eine Menge an virtuellen Ports eingerichtet worden sind. Ports sind virtuelle Schnittstellen, die sowohl konfiguriert als auch beliebig hinzugefügt werden können. Betrachten wir die Eigenschaften der Ports. Abbildung 4.17: Ports Sie sehen, dass es einige vordefinierte Ports gibt: 324

Port für DSL (PPPoE) 1 Port für VPN (PPTP) 128 Port für VPN (L2TP) 128 Port für VPN (SSTP) 128 Abbildung 4.18: Anzahl der Ports Durch Auswahl der entsprechenden Ports und klicken auf die Schaltfläche Konfigurieren können Sie die Einstellungen beeinflussen. Abbildung 4.19: Einstellungen der Ports 325

RAS Wählen bei Bedarf Auch bei einer RAS Verbindung können Sie eine Schnittstelle für Wählen bei Bedarf konfigurieren. Abbildung 4.20: Wählen bei Bedarf Die Vorgehensweise ist hier genauso wie bei einem Router. RAS-Richtlinien Windows Server 2008 hat einen hohen Sicherheitsstandard bezüglich der Einwahlrechte für RAS. Zunächst einmal werden alle Einwahlversuche zurückgewiesen, niemand kann auf das Firmennetz zugreifen. Die Zugriffsregelung wird mithilfe von RAS-Richtlinien gemacht. RAS-Richtlinien bestehen aus drei verschiedenen Teilen: Bedingungen: Bedingungen sind Parameter, die mit dem Einwahlversuch übereinstimmen müssen. Bedingungen können sein: 326

Tageszeit Gruppenzugehörigkeit Bestimmte IP-Adressen Wenn der Einwahlversuch die Bedingungen der ersten RAS-Richtlinie erfüllt, wird diese Richtlinie abgearbeitet, wenn nicht, werden die Bedingungen der nächsten RAS-Richtlinie untersucht, solange, bis entweder eine Richtlinie mit den Einwahlbedingungen übereinstimmt, oder das Ende der Liste erreicht ist. Zugriffsrechte: Wenn eine RAS-Richtlinie abgearbeitet wird, wird als nächstes überprüft, ob im Konto des Benutzers der RAS Zugriff gestattet ist. Bei Verweigern im Konto wird die Verbindung sofort beendet, sonst werden die Zugriffsrechte in der RAS-Richtlinie angewendet. Profil: Im Profil sind die physischen Parameter der Verbindung definiert, zum Beispiel Verschlüsselung Authentifizierung Diese Parameter müssen vom Client angewendet werden können, sonst wird die Verbindung noch an dieser Stelle abgelehnt. Alle drei Komponenten werden nacheinander überprüft. Der Ablauf ist folgendermaßen: 327

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback