Geek School Learning Windows 7 - Toegang op afstand

In het laatste deel van de serie hebben we gekeken hoe u uw Windows-computers kunt beheren en gebruiken vanaf elke locatie zolang u zich op hetzelfde netwerk bevindt. Maar wat als je dat niet bent?

Bekijk de eerdere artikelen in deze Geek School-serie in Windows 7:

• Introductie van How-To Geek School
• Upgrades en migraties
• Apparaten configureren
• Schijven beheren
• Toepassingen beheren
• Internet Explorer beheren
• IP-adressering Grondbeginselen
• Netwerken
• Draadloze netwerken
• Windows Firewall
• Beheer op afstand

En blijf op de hoogte voor de rest van de serie deze week.

Bescherming van netwerktoegang

Network Access Protection is de poging van Microsoft om de toegang tot netwerkbronnen te regelen op basis van de gezondheid van de client die probeert verbinding te maken. Bijvoorbeeld, in de situatie waarin u een laptopgebruiker bent, kunnen er maanden onderweg zijn en verbindt u uw laptop niet met uw bedrijfsnetwerk. Gedurende deze tijd is er geen garantie dat uw laptop niet wordt geïnfecteerd met een virus of malware, of dat u zelfs updates van de antivirusdefinitie ontvangt.

In deze situatie, wanneer u terugkeert naar kantoor en de machine op het netwerk aansluit, bepaalt NAP automatisch de status van de machine ten opzichte van een beleid dat u hebt ingesteld op een van uw NAP-servers. Als het apparaat dat op het netwerk is aangesloten niet voldoet aan de gezondheidsinspectie, wordt het automatisch verplaatst naar een superbeperkt gedeelte van uw netwerk dat de herstelzone wordt genoemd. In de saneringszone proberen de saneringsservers automatisch het probleem met uw machine op te lossen. Enkele voorbeelden kunnen zijn:

• Als uw firewall is uitgeschakeld en uw beleid vereist dat deze wordt ingeschakeld, kunnen de herstelservers uw firewall voor u inschakelen.
• Als in uw gezondheidsbeleid staat dat u de nieuwste Windows-updates moet hebben en u niet, hebt u mogelijk een WSUS-server in uw herstelzone die de nieuwste updates op uw client installeert.

Uw machine zal alleen teruggaan naar het bedrijfsnetwerk als het gezond wordt geacht door uw NAP-servers. Er zijn vier verschillende manieren waarop u NAP kunt afdwingen, elk met zijn eigen voordelen:

• VPN - Het gebruik van de VPN-handhavingsmethode is handig in een bedrijf waar telewerkers thuis op afstand kunnen werken met behulp van hun eigen computers. U kunt nooit zeker weten welke malware iemand kan installeren op een pc waar u geen controle over hebt. Wanneer u deze methode gebruikt, wordt de gezondheidstoestand van een client gecontroleerd telkens wanneer een VPN-verbinding wordt gestart.
• DHCP - Wanneer u de DHCP-handhavingsmethode gebruikt, krijgt een client geen geldige netwerkadressen van uw DHCP-server totdat deze door uw NAP-infrastructuur gezond worden geacht.
• IPsec - IPsec is een methode om netwerkverkeer te coderen met behulp van certificaten. Hoewel dit niet erg gebruikelijk is, kunt u ook IPsec gebruiken om NAP af te dwingen.
• 802.1x - 802.1x wordt ook wel poortgebaseerde verificatie genoemd en is een methode om clients op switchniveau te verifiëren. Het gebruik van 802.1x voor het afdwingen van een NAP-beleid is de standaardpraktijk in de wereld van vandaag.

Inbelverbindingen

Om de een of andere reden wil Microsoft in deze tijd nog steeds van je weten over die primitieve inbelverbindingen. Inbelverbindingen gebruiken het analoge telefoonnetwerk, ook bekend als POTS (Plain Old Telephone Service), om informatie van de ene computer naar de andere te verzenden. Ze doen dit met behulp van een modem, dat is een combinatie van de woorden moduleren en demoduleren. Het modem wordt aangesloten op uw pc, gewoonlijk met behulp van een RJ11-kabel, en moduleert de digitale informatiestromen van uw pc in een analoog signaal dat via de telefoonlijnen kan worden overgedragen. Wanneer het signaal zijn bestemming bereikt, wordt het gedemoduleerd door een ander modem en omgezet in een digitaal signaal dat de computer kan begrijpen. Als u een inbelverbinding wilt maken, klikt u met de rechtermuisknop op het netwerkstatuspictogram en opent u het Netwerkcentrum.

Klik vervolgens op de koppeling Een nieuwe verbinding of netwerkhyperlink instellen.

Kies nu voor het instellen van een inbelverbinding en klik op Volgende.

Vanaf hier kunt u alle benodigde informatie invullen.

Opmerking: als u een vraag krijgt waarvoor u een inbelverbinding moet instellen voor het examen, zullen deze de relevante gegevens bevatten.

Virtuele privé-netwerken

Virtuele privénetwerken zijn privé-tunnels die u via een openbaar netwerk kunt opzetten, zoals internet, zodat u veilig verbinding kunt maken met een ander netwerk.

U kunt bijvoorbeeld een VPN-verbinding tot stand brengen vanaf een pc op uw thuisnetwerk naar uw bedrijfsnetwerk. Op die manier lijkt het alsof de pc in uw thuisnetwerk echt deel uitmaakt van uw bedrijfsnetwerk. U kunt zelfs verbinding maken met netwerkshares en bijvoorbeeld of u uw pc hebt gebruikt en deze fysiek hebt aangesloten op uw werknetwerk met een Ethernet-kabel. Het enige verschil is natuurlijk snelheid: in plaats van de Gigabit Ethernet-snelheden te krijgen die u zou gebruiken als u fysiek op kantoor zou zijn, wordt u beperkt door de snelheid van uw breedbandverbinding.

Je vraagt ​​je waarschijnlijk af hoe veilig deze "privé-tunnels" zijn, omdat ze over het internet "tunnelen". Kan iedereen jouw gegevens zien? Nee, dat kunnen ze niet, en dat komt omdat we de gegevens versleutelen die via een VPN-verbinding zijn verzonden, vandaar de naam virtueel "privé" -netwerk. Het protocol dat wordt gebruikt voor het encapsuleren en coderen van de gegevens die via het netwerk worden verzonden, wordt aan u overgelaten en Windows 7 ondersteunt het volgende:

Opmerking: Helaas moeten deze definities u uit het hoofd weten voor het examen.

• Point-to-Point Tunneling Protocol (PPTP) - Met het Point to Point Tunneling Protocol kan netwerkverkeer worden ingekapseld in een IP-header en worden verzonden via een IP-netwerk, zoals internet.
  • inkapseling: PPP-frames worden ingekapseld in een IP-datagram met een aangepaste versie van GRE.
  • Encryption: PPP-frames worden gecodeerd met Microsoft Point-to-Point Encryption (MPPE). Versleutelingssleutels worden gegenereerd tijdens authenticatie waarbij de Microsoft Challenge Handshake Authentication Protocol versie 2 (MS-CHAP v2) of Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) -protocollen worden gebruikt.
• Layer 2 Tunneling Protocol (L2TP) - L2TP is een beveiligd tunnelingprotocol dat wordt gebruikt voor het transporteren van PPP-frames met behulp van het internetprotocol, het is gedeeltelijk gebaseerd op PPTP. In tegenstelling tot PPTP, gebruikt de Microsoft-implementatie van L2TP geen MPPE om PPP-frames te coderen. In plaats daarvan gebruikt L2TP IPsec in de transportmodus voor coderingsservices. De combinatie van L2TP en IPsec staat bekend als L2TP / IPsec.
  • inkapseling: PPP-frames worden eerst omwikkeld met een L2TP-header en vervolgens een UDP-header. Het resultaat wordt vervolgens ingekapseld met behulp van IPSec.
  • Encryption: L2TP-berichten worden versleuteld met AES- of 3DES-codering met behulp van sleutels die zijn gegenereerd via het IKE-onderhandelingsproces.
• Secure Socket Tunneling Protocol (SSTP) - SSTP is een tunnelingprotocol dat HTTPS gebruikt. Aangezien TCP-poort 443 op de meeste bedrijfsfirewalls is geopend, is dit een uitstekende keuze voor landen waar geen traditionele VPN-verbindingen zijn toegestaan. Het is ook erg veilig omdat het SSL-certificaten gebruikt voor codering.
  • inkapseling: PPP-frames worden ingekapseld in IP-datagrammen.
  • Encryption: SSTP-berichten worden gecodeerd met SSL.
• Internet Key Exchange (IKEv2) - IKEv2 is een tunnelingprotocol dat het IPsec Tunnel Mode-protocol gebruikt via UDP-poort 500.
  • inkapseling: IKEv2 kapselt datagrammen in met behulp van IPSec ESP- of AH-headers.
  • Encryption: Berichten worden versleuteld met AES- of 3DES-codering met behulp van sleutels die zijn gegenereerd via het IKEv2-onderhandelingsproces.

Serververeisten

Opmerking: u kunt uiteraard andere besturingssystemen instellen als VPN-servers. Dit zijn echter de vereisten om een ​​Windows VPN-server te laten werken.

Om mensen een VPN-verbinding met uw netwerk te laten maken, moet u een server met Windows Server hebben waarop de volgende rollen zijn geïnstalleerd:

• Routering en RAS (Remote Access)
• Network Policy Server (NPS)

U moet ook DHCP instellen of een statische IP-pool toewijzen die machines die via VPN kunnen worden gebruikt, kunnen gebruiken.

Een VPN-verbinding maken

Als u verbinding wilt maken met een VPN-server, klikt u met de rechtermuisknop op het netwerkstatuspictogram en opent u het Netwerkcentrum.

Klik vervolgens op de koppeling Een nieuwe verbinding of netwerkhyperlink instellen.

Kies nu om verbinding te maken met een werkplek en klik op Volgende.

Kies vervolgens om uw bestaande breedbandverbinding te gebruiken.

P

Nu moet u de IP- of DNS-naam van de VPN-server invoeren op het netwerk waarmee u verbinding wilt maken. Klik vervolgens op Volgende.

Voer vervolgens uw gebruikersnaam en wachtwoord in en klik op Verbinden.

Nadat u verbinding hebt gemaakt, kunt u zien of u bent verbonden met een VPN door op het netwerkstatuspictogram te klikken.

Huiswerk

• Lees het volgende artikel op TechNet, dat u begeleidt bij het plannen van beveiliging voor een VPN.

Opmerking: het huiswerk van vandaag is een beetje buiten de scope voor het examen 70-680, maar het geeft je een goed begrip van wat er achter de schermen gebeurt wanneer je verbinding maakt met een VPN van Windows 7.

---

Als je vragen hebt, kun je me tweeten @taybgibb, of een reactie achterlaten.