Click here to load reader
Upload
thiago-inacio-de-matos
View
105
Download
3
Embed Size (px)
Citation preview
Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012
Autor: Thiago Inácio de Matos
Contato: [email protected]
VPN
PPTP
1. Criptografia de 40 bits (não utilizado pelas grandes empresas)
L2TP
1. Possui dois métodos de criptografia
1. Criptografia de 128 bits (chave pré compartilhada)
2. Criptografia de 2048 bits (certificado/IPSec)
SSTP
1. Criptografia de 2048 bits usa somente a porta 443
IKEV2
1. Criptografia de 2048 bits possui reconexão automática
LAB
Server1
Server2
Server3
Client1
Instar as funções de AD/DNS no server1, IIS no server2 e o NAT no server3
Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012
Autor: Thiago Inácio de Matos
Contato: [email protected]
PPTP +RRAS
Cliente
1. Central de rede e compartilhamento
2. Conectar a um local de trabalho
3. Usar minha conexão coma Internet
4. Configurar a conexão de internet mais tarde
5. IP externo do NAT // Nome escolha livre
6. Marcar “Permitir que ouras pessoas usem esta conexão” que é requisito para AD
Configurações para conexão
1. Desabilitar o NAT (passo necessário para realizar os testes com o RRAS)
2. Habilitar o Roteamento de LAN (RRAS)
1. Botão direito na guia geral
2. Habilitar a opção de servidor de acesso remoto IPv4
3. No AD dar permissão ao usuário que fará o acesso remoto
1. IR ao Usuário e grupos locais
2. Propriedades do usuário que utilizará a VPN
3. Permissão de acesso à rede – Permitir acesso
3. No servidor de RRAS
4. Botão direito em portas
5. Seleciona PPTP – configurar
6. Habilitar conexões de acesso remoto (somente de entrada)
Para que seja possível a navegação dentro da rede existem duas formas uma é por meio de DHCP e
outra é através de configuração de range IP no servidor do RRAS
1. Propriedades de roteamento e acesso remoto
2. Guia IPv4
3. Pool de endereços estáticos
4. Adicionar
5. Inserir o ranges
Nota:
A porta que é habilitada é a 1723
Outro protocolo que é utilizado é o GRE
PPTP +NAT
Configurações normais do NAT
Na placa de saída configurar a opção Gateway VPN (PPTP) e em endereço particular inserir o
endereço de loopback
L2TP+chave
1. Central de rede e compartilhamento
2. Conectar a um local de trabalho
Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012
Autor: Thiago Inácio de Matos
Contato: [email protected]
3. Usar minha conexão coma Internet
4. Configurar a conexão de internet mais tarde
5. IP externo do NAT // Nome escolha livre
6. Marcar “Permitir que ouras pessoas usem esta conexão” que é requisito para AD
7. No discador configurado
1. Na guia segurança escolher o Tipo de VPN como L2PT
2. Em configurações avançadas – inserir uma chave pré compartilhada
8. No servidor de VPN
1. Propriedades de roteamento e acesso remoto
2. Guia segurança
3. Marcar a caixa permitir diretiva IPSec personalizada para conexão L2PT
4. Inserir a chave pré compartilhada
L2PT+IPSec
Para a atender as necessidades é necessário instalar um AD CS no DC
Gerenciador de servidores
Adicionar função
Serviço de Certificado do Active Directory
Autoridade de certificação
Registro na Web de Autoridade de Certificação
Fazer com que os computadores confiem na CA (gpupdate /force nos equipamentos da rede)
É necessário criar um novo certificado
Modelos de certificado
No lado direito da tela > Botão direito > gerenciar (abre o console de modelo de certificado) >
IPSec (solicitação off-line) > Botão direito Modelo Duplicado para gerar uma cópia do certificado >
Windows server 2003 enterprise por questões de segurança e você manter o original.
No novo certificado > Guia tratamento de solicitação > marcar “permitir que a chave privada seja
exportada” >
No novo certificado > Guia segurança > adicionar o usuário todos > dar controle total
Para que seja possível a visualização do novo modelo de cerificado é necessário seguir o seguinte
passo.
Modelo de certificado > no lado direto, clicar com o botão direito > novo > modelo de certificado a
ser emitido > escolher o certificado e clicar em OK
Solicitando o certificado
Configuração do MMC
Adicionar certificados > conta de computador (local) e minha conta de usuário
Solicitar o certificado pelo site de certificado > http://192.168.x.x/certsrv > solicitar certificado >
Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012
Autor: Thiago Inácio de Matos
Contato: [email protected]
solicitação avançada > criar e enviar uma solicitação para a CA
Na página de certificado preencher da seguinte forma:
Modelo de certificado – Escolher o certificado de IPSec configurado anterior mente:
Informações de identificação para modelo off-line -
Nome: nome FQDN do equipamento
Avançar e instalar o certificado
Com esse procedimento temos um certificado de usuário, para termos ele como um certificado de
computador é necessário exportar o certificado criado.
Botão direto no certificado > todas as tarefas > exportar > Exportar a chave privada
Em certificados de comutador > pessoal > botão direito na área da direita > todas as tarefas >
importar.
Para o computador que não está no domínio confiar na Ca
O primeiro passo é criar uma regra no NAT para que seja possível acessar o site da CA
Para configura na CA é necessário:
Fazer o download de um certificado de autoridade de certificação, cadeia de certificados ou lista de
certificados revogados > fazer download de certificado da autoridade de certificação > importar o
certificado baixado através do MMC de certificados > adicionar certificados de usuário e
computador local > importar para autoridade certificação de raiz confiáveis
O FQDN a ser utilizado vai ser apenas o nome do computador, já que ele não está no domínio
DNSSec
É um padrão internacional que estende a tecnologia DNS. O que DNSSec adiciona é um
sistema de resolução de nomes mais severo, reduzindo risco de manipulação de dados e
informações. O mecanismo utilizado pelo DNSSec é baseado na tecnologia de criptografia de
chaves públicas.
DNSSec fornece autenticidade e integridade das respostas DNS.
DNS soluciona problemas encontrados na atual tecnologia DNS.
No protocolo DNS, um ataque onde a informação é corrompida é extremamente difícil de
ser detectado, e praticamente impossível de ser prevenido.
O objetivo da extensão DNSSec é assegurar o conteúdo do DNS e impedir estes ataques
validando os dados e garantindo a origem das informações
Instalar a função de DNS
Criar uma zona primaria com o nome domx.local
Primeiro passo é realizar um backup da zona atual com o comando abaixo
Dnscmd serverx /zoneexport domx.local bkpdns
Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012
Autor: Thiago Inácio de Matos
Contato: [email protected]
O arquivo de backup fica em %system32%\dns\nome-do-arquivo
Gerar a chave pública do dns
KSK (Key Signing Keys)
Dnscmd /offlinesign /genkey /alg rsash1 /flags ksk /length 2048 /zone domx.local /sscert
/friendlyname ksk.dom11.local
Para atrelar a zona dns
ZSK (Zone Signing Keys)
Dnscmd /offlinesign /genkey /alg rsash1 /length 2048 /zone domx.local /sscert /friendlyname
zsk.dom11.local
Assinar a zona
Dnscmd /offlinesign /signzone /input c:\windows\system32\nome_do_backup /output
“caminho_desejado” /zone domx.local /signkey /validto (data usando o seguinte formato
[AAAAMMDDHHMMSS]) validfrom (data usando o seguinte formato
[AAAAMMDDHHMMSS]) /friendlyname “nome_amigável_do_certificado”
É necessário deletar a zona
Adicionar zona assinada:
Dnscmd serverx /zoneadd dom6.local /dsprimary /file
“arquivo_criado_durante_a_assinatura_da_zona” /load
Em modo gráfico
No console de dns
Adicionar uma nova zona primária > de o mesmo nome da chave anterior > usar este arquivo
existente
Clique com botão direito no serverx > propriedades > guia âncora de confiança > adicionar > nome
= domx.local; marcar a checkbox ponto de entrada seguro; em chave pública copiar a primeira linha
do arquivo keyset referente ao seu domínio e ok