Remote Access: Direct Access Proxy Web: Web Apllication Proxy Virtual Private Network: Direct Access:

Transcripción

1 Module 8: Implementing Remote AccessCourse Outline (continued) Remote Access: Las tecnologias de acceso remoto en microsoft windows Server 2012 R2 son: - VPN - Routing: Enrutamiento dinamico (RIPv2), NAT - Direct Access - Proxy Web: Web Apllication Proxy Virtual Private Network: VPN es una tecnologia de acceso remoto que permite cifrado, autenticacion y chequeo de integridad usando diferentes protocolos y algoritmos. Podemos crear VPNs de diferentes tipos: - L2TP - PPTP - IPSec - SSTP - GRE -.. Cualquiera de ellas permite el acceso remoto. Tanto de usuarios como las conexión entre diferentes redes LAN. Si las usamos para acceso remoto de usuarios, SIEMPRE requieren la interaccion del usuario. El usuario tiene que ejecutar el cliente VPN y usar sus credenciales (aunque podrian almacenarse en cache). Direct Access: Es una tecnologia de VPN de microsoft que no requiere de interaccion por parte del usuario. Direct Access usa un sistema de localizacion de forma que sabe si el usuario esta en la LAN o conectandose desde internet. Si esta fuera, habilita la VPN sin interaccion del usuario. Reconecta a la VPN si pierde la conexión y permite mantener el acceso a internet mientras la VPN esta abierta.

2 Direct access permite que las actualizaciones de seguridad, las politicas de seguridad y las GPOs se apliquen a los equipos moviles sin depender de que un usuario abra la conexión con la LAN. La conexión con la LAN sera permanente siempre que este fuera y tenga conexión a internet. Routing: Incluye capacidades de: - Enrutamiento estatico - Enrutamiento dinamico con RIPv2 - NAT Web Application Proxy (WAP): Nueva tecnologia de en windows server 2012 r2. Funciona a modo de proxy inverso y permite usuarios que estan fuera de la lan puedan acceder a aplicaciones web que tenemos en la intranet. ADFS Active directory Federation Services no puede estar en el mismo servidor que el Remote access Server Herramientas para gestionar las tecnologias de acceso: - Routing and Remote Access (RRAS): o o VPN Routing: RIPv2, NAT, DHCP Relay - Remote Access Management Console o o o VPN Direct Access WAP - Powershell o o o o Set-DAServer: Configurar Direct Access Get-DAServer: Obtener informacion de Direct Access Set-RemoteAccess: Configuracion de acceso remoto VPN Get-RemoteAccess: Obtener informacion de configuracion de Acceso Remoto

3 Instalacion del ROL de Remote Access Y la consola es asi PKI: Public Key Infraestructure. Podemos tener: - CAs Privadas: Las gestionamos nosotros - CAs Publicas: un proveedor las gestiona y le compramos certificados.

4 La PKI puede estar formada por una unica CA o por varias: CA (root) Se apaga y se guarda CA (Subordinada) Cert equipos CA (Subordinada) Cert usuarios y salud Si solo tenemos una CA, ella se ecarga de entregar y gestionar todos los certificados. Tambien gestiona la CRL (Certificate Revocation List). Si tenemos multiples CAs, la raiz entrega certificados de CA a las Subordinadas y estas entregan certificados de equipos, usuario, salud, etc a los clientes. Los clientes solo necesitan tener como CA confiable a la raiz Otra manera de administrar el acceso remoto usuario por usuario

5 Direct Access: Es una tecnologia de acceso remoto que permite una conexión permanente con la red LAN sin la intervencion del usuario y de forma transparente para el. Mantiene el acceso a internet ademas de contar con acceso a la LAN a traver de una VPN. Direcc Access habilita enrutamiento para que mantenga el acceso a internet. Aparecio en Windows Server 2008 R2, aunque era mucho mas complicada de configurar entre otros, los requisitos eran: - Contar con 2 direcciones IP publicas y consecutivas. - Contar con una PKI

6 - Implantacion de IPv6. La conexion de Direct Access se hace usando Ipv6 y protegida con IPSec. En Windows Server 2012 y 2012 R2 estos requisitos ya no son necesarios. - No es necesario contar con una PKI si no tenemos clientes Windows 7. Si los clientes son Windows 8 o 8.1, usa certificados autofirmados. Sistemas operativos: - Para servidores: Sistemas operativos Windows Server 2012 o Windows Server 2012 R2. Tambien Windows Server 2008 R2, pero con los requisitos ya nombrados. - Para clientes: Windows 8 Enterprise, Windows 7 Enterprise y Windows 7 Ultimate Crear una MV LON-CL3 con windows 8.1 Enterprise. Componentes de una infraestructura Direct Access: - Servidor Direct Access: Una maquina windows Server 2012 que este unida al dominio. Proporciona autenticacion a los clientes Direct Access. En nuestro Laboratorio sera LON-RTR. LON-RTR estara conectado directamente a internet y esta implementacion se llama Edge. Tambien permite implementaciones en las que el Direct Access esta detrás de un cortafuegos. - Clientes Direct Access: Pueden ser clientes internos y externos. Cuando son externos, se abre la VPN IPSec. Cuando son internos, no se abre la VPN y el acceso a los recursos es directo. La apertura de la VPN sera automatica Sin que intervenga el usuario. Para esto Se necesita un metodo de localizacion para saber si el cliente esta dentro o fuera. Se denomina Network Location Server (NLS) - Network Location Server: Es un servidor web al que los clientes se conectan via HTTPS. Los clientes reciben el certificado SSL del servidor y eso les permite saber si estan fuera o dentro de la red. NLS solo es accesible desde la LAN. Si el cliente no recibe certificado, sabe que esta fuera de la red. En nuestro laboratorio tambien sera el LON-RTR. - Directorio Activo: Proporciona la infraestructura necesaria para la distribucion de GPOs, certificados y autenticacion. Si usamos el asistente de Direct Access, se crean 2 GPOs, una para los clientes DA y otra para el servidor DA. - PKI: Es opcional, a nos ser que queramos usar clientes windows 7 o no tengamos necesidades especificas de configuracion, como la prohibicion de usar certificados autofirmados. - DNS: Permite la localizacion de recusos, entre ellos el NLS. Este DNS estara accesible solo para equipos en la LAN. Los clientes Direct Access no lo verian cuando estan fuera de la red. Para resolver este problema, se utiliza NRPT (Network Resolution Policy Table). - Recursos internos: Servidores web, de archivos, de impresión,, que estan en la LAN. - NAP: es un componente opcional. En este caso tendriamos que llevar a cabo la configuracion avanzada de Direct Access, no esta disponible la integracion con NAP en el asistente Nuestro LAB:

7 Opciones de Implementacion: Direct Access permite diferentes entornos de Implementacion: - Multiples Extremos (Endpoints): Podemos tener multiples DA Servers en la empresa, Por ejemplo, uno en cada sucursal. Direct Access redirigira al cliente al servidor mas cercano. Direct Access se suele combinar con DFS (Distributed File System) - Multiples dominios bosques: Es posible implementar Direct Access en entornos de multiples dominios y bosques. - Despliegues detrás de NAT: podemos evitar el uso de direcciones IP publiscas si el DA server esta detrás de un NAT. - Soporte OTP y Smartcards: OTP (One Time Password). Tambien soporta autenticacion de doble factor. - Soporta NIC teaming. - Soporte despliegue offline usando djoin.exe. Protocolos de Tunneling en Direct Access: Direct Access no exige entornos nativos IPv6, pero requiere IPv6 para funcionar. Para resolver esto, usa diferentes protocolos de tunneling de IPv6 en IPv4 según el escenario de uso. - ISATAP: Se utiliza cuando los clientes tienen direcciones direcciones IP privadas y el servidor una IP publica. ISATAP no soporta NAT - 6to4: Se utiliza cuando tanto los clientes como el servidor tienen IP publicas - Teredo: Se utiliza cuando los clientes estan detrás de NAT - IP-HTTPS: Se utiliza cunado los 3 metedos anteriores fallan, por jemplo, por restricciones de cortafuegos. Todo el trafico ira por HTTPS

8 Modos de conexión Direct Access Conexión de equipos en la LAN: 1- El DA Client intenta resolver la FQDN del NLS. Intenta resolverlo con el DNS de la LAN 2- El DNS le responde con la IP del NLS 3- El DA Client Se conecta al NLS (servidor HTTPS) y descarga su certidicado SSL. 4- El DA Client comprueba el certificado del NLS en la CRL (Certificate Revocation List). 5- Si el certificado es valido, el DA Client sabe que esta en la red local y no abre la VPN 6- El DA Client usa el DNS de la LAN para acceder a los recursos internos. Funicona como otro equipo de la LAN. Conexión de equipos fuera de la LAN: 1- El Da Client intenta resolver la FQDN del NLS. Intenta resolverlo con el DNS de la LAN 2- No tiene acceso al DNS de la LAN y el DNS del ISP no podra resolver el FQDN del NLS. 3- El DA Client no puede obtener el certificado y sabe que esta fuera de la red LAN 4- El DA Client usa las reglas de NRPT para localizar el servidor DA server mas cercano. 5- Abre la VPN con el DA Server mas cercano 6- El DA Client ya tiene acceso al DNS de la LAN Configuracion de Direct Access usando el asistente: Requisitos Previos: - Debe estar funcionando y accesible los DCs de todos los dominios que tenemos configurados (VMnet2). o LON-DC1 (adatum.com)

9 o LON-SRV2 (Contoso.com) Las NICs deben tener IPv6. (todos) - LON-CL3 unido al dominio y en Vmnet2 con la IP /24. Es necesario para que reciba la GPO de los DA Clientes. - Por defecto, La GPO de DA Clients se asigna a todos los equipos del dominio. Lo cambiaremos y solo aplicaremos esta GPO a un grupo de equipos que llamaremos DA_Clients. El unico miembro de este grupo sera LON-CL3. - La interfaz externa (VMnet3) de LON-RTR (DA Server) debe tener una direccion IP Publica ( /24) Creamos esta estructura para mas adelante filtrar por grupo. No es necesario imitar esta organización es para tenerlo todo un poco ordenado Ahora en el LON-RTR nos vamos a la consola de Remote Access management. Si a la izquieda no aparece direct access hay que reinstalar el rol de remote access completo (requiere reinicio)

10 Utilizaremos el primero que es mas rapido y mas limitado Vamos a desplegar solo Direct Access

11 Ahora comprobara los requisitos Elegimos el tipo de topologia y le damos la IP Publica

12 Ahora vamos a configurar las opciones que vienen por defecto pulsando en Here

13

14

15 Vamos a cambiar a los equipos a los que se aplica Asi viene por defecto

16 Lo modificamos indicando el grupo que creamos especificamente para Direct Access Aquí ahora no modificamos nada pero vemos la opcion de poner un correo de soporte en el examen pueden preguntarlo

17 Ahora ya finalizamos

18 Ya vemos que ha terminado con un warning pero no pasa nada

19 Comprobamos que nos ha creado las GPOs desde el LON-DC1 Y las ha creado con las configuraciones de seguridad

20 Aquí tenemos la consola de direct access

21

22 Ahora comprobamos que se le esta aplicando la nueva GPO al LON-RTR con gpresult /r y reiniciamos ya que las politicas de equipo solo se aplican al reiniciar. Ahora ya nos sale todo OK Ahora vamos a comprobar que esta funcionando direct access desde el cliente en la red local (LON-CL3 en vmnet2) Netsh dns show state

23 Como vemos en la imagen en la ubicación de la maquina aparece dentro de la red corporativa Tambien tenemos el comando Netsh name show effectivepolicy Tambien tenemos comandos de powershell Get-DAClientExperienceConfiguration Get-DAConnectionStatus

24 Vamos a darle una ip publica al cliente y cambiar la VMnet a la 3 internet Y comprobamos si funciona

25 Como se ve en la imagen automaticamente ya nos indica que estamos fuera de la red corporativa y que el Direct Access esta configurado y habilitado. Tambien podemos ver la configuracion ip del tunel Crea dos tuneles uno para autenticacion de usuario y otra para trafico Ahora tendriamos que configurar la parte avanzada para que funcione todo correctamente. 2 formas de desplegar Direct Access:

26 - Despliegue rapido usando el Getting Started Wizard - Despliegue avanzado usando el asistente de setup de Remote Access. Hasta ahora hemos usado el primero con las siguientes MVs: - LON-DC1: Solo funciona como DC - LON-RTR: Funciona como servidor Direct Access. - LON-SRV2: Es un DC en contoso.com, aunque podria apagarse. (es para que no salga fallo en la consola de Remote Access) - LON-CL3: Cliente Direct Access con windows 8.1 Enterprise (en profesional no funciona) Parte de la configuracion de este asistente rapido es la creacion de GPOs en el dominio, tanto para servidores como para clientes DirectAccess DirectAccess tambien usa el LON-RTR como servidor intermedio para DNS con IPv6 se puede ver en la GPO para servidor de DirectAccess Importante para el examen Protocolo Diffi-hellman Grupo 2 Modos IPsec ESP: Encapsulation Security Payload. (Cifrado) AH: Authenticacion Header (Sin cifrar)

27 NLS: Network Location Server. Servidor que, si es accesible por el cliente, indica que este cliente esta en la intranet. Si no es accesible para el cliente, indica que este cliente esta fuera de la intranet y debe abrir el tuner DirectAccess. Es un servidor HTTPS con un certificado autofirmado (en el caso del Getting Started Wizard). El cliente descarga el certificado y comprueba su valided. Si no puede descargarlo, es que se encuentra fuera de la intranet. OJO con esto Deberia usar el DirectAccess-IPHTTPS pero como ya teniamos montada la PKI esta usando el certificado de LON.RTR.adatum.com a veces el asistente se lia Limitaciones del asistente Getting Started Wizard - No se puede usar en varias localizaciones por los certificados - Certificados autofirmados no permite que se utilicen en varios sitios a la vez. La GPO solo indica un servidor en el que confiar.el ultimo sitio que creara la GPO seria en el que confiaran los equipos ya que se machaca cada vez que se crea. - Obligaria a que el CRL (Certificate Revocation List) este accesible desde el exterior

28 - Si tenemos clientes con Windows 7 tampoco se puede usar por que no soportan certificados autofirmados. - No te deja elegir donde esta el servidor IIS para NLS (Network Location Server) para los certificados lo que implica que todo el mundo deberia tener acceso a el, por obligacion el NLS estara en el Servidor DirectAccess Para Saltarnos las limitaciones del Getting Started Wizard (No permite multiples sitios ni tampoco windows 7, Tampoco permite elegir donde instalar el NSL), tenemos qie recurrir a la configuracion avanzada de Direct Access. La configuracion Avanzada de Direct Access tambien hace uso de un asistente: Remote Access Setup. Ventajas del Remote Access Setup: - Podemos usar una PKI que tengamos en la empresa, lo que permite alta disponibilidad y escalabilidad - Podemos elegir donde colocar el NLS y tambien si queremos tener varios para redundancia y alta disponibilidad. - Podemos usar certificados firmados por una CA confiable para aplicarlos en equipos con windows 7. Integrar una PKI existente con DirectAccess: 1. Crear una CA o usar una que ya existe. 2. En la CA Crear una plantilla de certificado para servidor Web (la misma que hemos creado en otro ejercicio para HTTPS con SSL). 3. La CA contendra la CRL, o bien podemos instalar la CRL en otro servidor y publicar los certificados. 4. Distribuir los certificados a los clientes. Un metodo de distribucion son las GPOs

29 Configuracion avanzada de direct access Primer paso

30 El primero permite el acceso a la red interna El segundo no permite el acceso a la red interna pero si le aplicaria actualizaciones GPOs etc

31 Paso 2

32 Importante para el examen! Incluso con el asistente avanzado NO se puede cambiar la topologia, tendriamos que recofigurar entero de nuevo Direct Access Server Network Topologies: - Edge (2 adaptadores de red) o Una tarjeta conectada a internet y otra a la intranet - Behind an edge device (2 adaptadores de red). Red perimetral o o Una tarjeta se conecta a la intranet y la otra a un firewall en la red perimetral No tiene conexión directa con internet. Es intermediario para acceder a la red local

33 - Behind an edge device (1 adaptador de red). Red interna o Esta solamente conectado a la red local y atiende peticiones de DA a traves del firewall de la red

34 Paso 3

35

36

37 Aquí podriamos elegir quien administra directaccess puede ser un DC o System Center Network Location Server (NLS): Parte de la configuracion Avanzada de DirectAccess es diseñar la implementacion del servidor NLS. Podemos instalar el servidor NLS en cualquier equipo que cumpla lo siguiente: - Servidor web con un certificado valido para HTTPS. - Debe ser accesible para todos los clientes Direct Access internos. - Todos los clientes internos deben confiar en la CA que ha emitido el certificado para HTTPS - Deberia configurarse en alta disponibilidad. o Usar NBL (Network Load Balancing). Varios servidores web que atienden todos a la misma URL. SCCM: System Center Configuration Manager - Aplicar actualizaciones - Aplicar GPOs - Despliegue de aplicaciones - Modificaciones de la imagen usando DISM - Active o desactive roles -. SCVMM (Virtual machine manager) SCO (Orchestrator) SCOM (Operation manager) SCDPM (Data Protection Manager)

38 Metodologia de diagnostico de Fallos en DA: - Comprobar que los sistemas opertivos usados son compatibles con DA o Server: Windows Server 2008 R2 + o Clientes: Windows 7 (No para el getting started wizard), windows 8 enterprise - Los equipos cliente deben ser miembros del dominio. - Comprobar que el servidor y los clientes han recibido y estan aplicando las GPOs que les correspondan (Gpresult /r) - El cliente debe tener una IPv6 Global. - El cliente debe alcanzar la IPv6 del servidor Direct Access - La red local debe tener direccion IPv6 Global - Comprobar que la maquina cliente determina Correctamente si esta fuera o dentro de la red (netsh dns show state) - Comprobar que las reglas del firewall se han creado correctamente. - Comprobar que los clientes pueden comunicarse con los servidores DNS internos. CMAK: Es una herramienta que permite crear archivos ejecutables (que luego podemos desplegar mediante GPOs) para configurar conexiones (VPN, Escritorio remoto, ) en los equipos cliente. Tipos de VPN: - Acceso remoto: un usuario movil necesita acceder a los recursos de una red local estando en el exterior. El acceso debe ser seguro. Es el cliente el que abre la VPN - Sitio a sitio: queremos unir dos (o mas) redes locales de forma segura usando infraestructura publica. La VPN esta permanentemente abierta. Importate para el examen aprenderse los puertos

39 Protocolos de tunnelling: - PPTP: Point to Point Tunnelling Protocol. Puede usarse para cualquier tipo de VPN. Es el menos seguro. Soportado por practicamente cualquier dispositivo. No aporta integridad de los datos. El protocolo de tranporte es TCP y el puerto usado es el L2TP (Layer 2 tunnelling Protocol): es un protocolo que permite encapsular cualquier protocolo de capas superiores para que viaje por un enlace punto a punto (Frame Relay, ATM). La seguridad se obtiene cuando se asocia con IPSec en Modo transporte (L2TP/IPSec). Soportado por los sistemas operativos windows desde XP y Windows Server La pega son la cantidad de puertos que necesita UDP 500 UDP 1701 UDP 4500 y IPPID 50 - SSTP (Secure socket Tunnellin Protocol). Usa el puerto 443 (HTTP/SSL) para encapsular todo el trafico - IKE v2 (Internet Key Exchange). Indicado sobre todo cuando los clientes necesitan movilidad. Soportado a partir de windows 7 y windows 2008 Protocolos de autenticacion: - PAP (Password Authentication Protocol): es el mas debil y la autenticacion se hace en plano

40 - CHAP (Challenge Authentication Protocol): Para evitar enviar en la red la contraseña, usa un mecanismo de desafio. El principal es que requiere almacenar la password en modo reversible. - MS-CHAPv2: mejora de CHAP en la que la contraseña ya no se tiene que almacenar en modo reversible - EAP (Extensible Authentication Protocol): Marco de autenticacion que soporta sistemas de autenticacion biometricos, dos factores, tarjetas inteligentes, certificados,. VPN reconnect: Es una caracteristica disponible desde windows Server 2008 R2 y Windows 7. Si la conexión VPN se cierra por un problema de conectividad, se abre automaticamente cuando se recupera la conectividad. Un ejemplo es un usuario movil en una red corporativa wifi formada por multiples Aps. Al pasar de un AP a otro (Roaming), el usuario perderia la conectividad momentaneamente y tendria que volver a abrir manualmente la VPN. VPN reconnect se encarga de volver a abrir sin interaccion por parte del usuario. Requiere el uso de IKE v2 y certificados, para lo que sera necesario contar con una PKI. Ejercicio: Configurar una VPN usando el getting started wizard de remote access management. Configurar una VPN SSTP Seguimos los pasos de VPN en RRAS

41 Dejamos los filtros activados Para configurar el SSL

42 Aquí le indicamos el certificado para SSL

43 Instalamos CMAK en el cliente para crear el.exe de configuracion de la VPN para ejecutarlo por politicas en todos los equipos Creacion de.exe con CMAK

44 Para autoconfiguracion de conexiónes en equipos clientes

45 Si tubieramos varios dominios aquí pondriamos el REALM

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60 Ya estaria listo nuestro exe para instalar.

61 Si lo instalamos se ve asi

62 Necesitamos que la vpn tenga certificado vamos a crearlo

63 Aquí elegimos el que hemos creado para que este disponible

64 Y ya podemos solicitarlo desde el servidor vpn para usarlo

65 Ya vemos que aparece en certificados del equipo Y ahora iramos al rras y configurariamos el certificado en las propiedades del servidor RRAS eligiendo el nuevo certificado

66