Nezabudnite sa pozrieť na predchádzajúce články v tejto sérii Geek School v systéme Windows 7:
- Predstavenie How-To Geek School
- Aktualizácie a migrácie
- Konfigurácia zariadení
- Správa diskov
- Správa aplikácií
- Spravovanie aplikácie Internet Explorer
- Základy adresovania IP
- Networking
- Bezdrôtové siete
- Brána firewall systému Windows
- Vzdialená správa
A zostávajte na ladenie po zvyšok série celý tento týždeň.
Ochrana prístupu k sieti
Ochrana prístupu k sieti je pokus spoločnosti Microsoft riadiť prístup k sieťovým zdrojom na základe zdravia klienta, ktorý sa s nimi pokúša pripojiť. Napríklad v situácii, keď ste užívateľom notebooku, môže byť mnoho mesiacov, keď ste na ceste a nepripájate váš prenosný počítač k firemnej sieti. Počas tohto obdobia neexistuje žiadna záruka, že váš počítač nie je infikovaný vírusom alebo škodlivým softvérom, alebo že dokonca dostanete antivírusové definície aktualizácií.
V takejto situácii, keď sa vrátite do kancelárie a zariadenie spojíte so sieťou, NAP automaticky určí zdravie strojov proti politike, ktorú ste nastavili na jednom z vašich serverov NAP. Ak zariadenie, ktoré sa pripojilo k sieti, zlyhalo pri zdravotnej kontrole, automaticky sa presunie do super obmedzenej časti vašej siete nazývanej zóny sanácie. Keď sa nachádzate v zóne sanácie, sanačné servery automaticky vyskúšajú a odstránia problém so zariadením. Príkladmi môžu byť:
- Ak je brána firewall zablokovaná a vaše pravidlá vyžadujú jej povolenie, sanačné servery by pre vás umožnili váš firewall.
- Ak vaše zdravotné pravidlá uvádzajú, že potrebujete najnovšie aktualizácie systému Windows a nemáte, mohol by mať server WSUS v zóne sanačných prostriedkov, ktorý nainštaluje najnovšie aktualizácie pre vášho klienta.
Vaše zariadenie sa presunie do podnikovej siete len vtedy, ak je server NAP považovaný za zdravý. Existujú štyri rôzne spôsoby, ako môžete vynútiť NAP, z ktorých každý má svoje vlastné výhody:
- VPN - Použitie metódy presadzovania VPN je užitočné v spoločnosti, v ktorej máte telekomunikačné spoločnosti vzdialene pracujúce z domu pomocou vlastných počítačov. Nikdy si nemôžete byť istí, aký škodlivý softvér môže niekto nainštalovať do počítača, na ktorý nemáte žiadnu kontrolu. Keď použijete túto metódu, zdravie klienta bude kontrolované pri každom spustení pripojenia VPN.
- DHCP - Ak použijete metódu presadzovania DHCP, klientovi nedostane platné sieťové adresy z vášho servera DHCP, kým nebude vaša NAP infraštruktúra považovaná za zdravú.
- IPsec - IPsec je spôsob šifrovania sieťovej prevádzky pomocou certifikátov. Aj keď nie je veľmi časté, môžete použiť aj IPsec na vynútenie NAP.
- 802.1x - 802.1x sa tiež niekedy nazýva autentizácia založená na portoch a je metódou overovania klientov na úrovni prepínača. Použitie pravidla 802.1x na presadenie politiky NAP je bežnou praxou v dnešnom svete.
Dial-Up pripojenia
Z nejakého dôvodu v dnešnej dobe spoločnosť Microsoft stále chce, aby ste o týchto primitívnych dialocných pripojeniach vedeli. Telefonické pripojenia používajú analógovú telefónnu sieť, známu aj ako POTS (Plain Old Telephone Service), na prenos informácií z jedného počítača do druhého. Robia to pomocou modemu, ktorý je kombináciou slov modulovaných a demodulovaných. Modem sa pripája k počítaču, zvyčajne pomocou kábla RJ11 a moduluje digitálne informačné toky z počítača do analógového signálu, ktorý sa dá prenášať cez telefónne linky. Keď signál dosiahne svoj cieľ, je demodulovaný iným modemom a vrátený späť do digitálneho signálu, ktorý počítač dokáže pochopiť. Ak chcete vytvoriť dial-up pripojenie, kliknite pravým tlačidlom myši na ikonu stavu siete a otvorte Centrum pre sieť a zdieľanie.
Poznámka: Ak dostanete otázku, ktorá vyžaduje, aby ste na skúške vytvorili dial-up pripojenie, poskytnú vám príslušné podrobnosti.
Virtuálne súkromné siete
Virtuálne súkromné siete sú súkromné tunely, ktoré môžete vytvoriť vo verejnej sieti, ako je internet, aby ste sa mohli bezpečne pripojiť k inej sieti.
Môžete napríklad vytvoriť pripojenie VPN z počítača vo vašej domácej sieti, do firemnej siete. Takto by sa zdalo, že počítač v domácej sieti je naozaj súčasťou vašej firemnej siete. V skutočnosti sa môžete dokonca pripojiť k sieťovým zdieľaným položkám a ak ste si napríklad vzali počítač a fyzicky ho zapojili do svojej pracovnej siete pomocou kábla Ethernet. Jediný rozdiel je samozrejme rýchlosť: namiesto toho, aby ste získali rýchlosti Gigabit Ethernetu, ak by ste boli fyzicky v kancelárii, budete obmedzený rýchlosťou vášho širokopásmového pripojenia.
Pravdepodobne sa zaujímate o to, ako bezpečne sú tieto "súkromné tunely", pretože "tunelujú" cez internet. Môže každý vidieť vaše údaje? Nie, nemôžu, a to preto, že šifrujeme údaje odosielané cez VPN pripojenie, teda názov virtuálnej "súkromnej" siete. Protokol používaný na zapuzdrenie a šifrovanie údajov odosielaných po sieti zostáva na vás a systém Windows 7 podporuje nasledovné:
Poznámka: Bohužiaľ tieto definície budete musieť vedieť, pre skúšku.
-
Protokol Tunneling Point-to-Point (PPTP) - Protokol Point to Point Tunneling umožňuje sieťový prenos zapuzdriť do hlavičky IP a posielať cez sieť IP, ako je napríklad internet.
- zapuzdrenie: PPP rámce sú zapuzdrené v IP datagrame pomocou modifikovanej verzie GRE.
- šifrovanie: Rámce PPP sú šifrované pomocou Microsoft Point-to-Point Encryption (MPPE). Šifrovacie kľúče sa generujú počas overovania, keď sa používajú protokoly Microsoft Challenge Handshake Authentication Protocol verzia 2 (MS-CHAP v2) alebo Protokol Extensible Authentication Protocol-Security Layer (EAP-TLS).
-
Tunelovací protokol vrstvy 2 (L2TP) - L2TP je bezpečný tunelovací protokol používaný na prepravu rámcov PPP pomocou internetového protokolu, čiastočne je založený na protokole PPTP. Na rozdiel od PPTP implementácia spoločnosti Microsoft L2TP nepoužíva MPPE na šifrovanie rámcov PPP. Namiesto toho L2TP používa protokol IPsec v režime prenosu pre šifrovacie služby. Kombinácia L2TP a IPsec je známa ako L2TP / IPsec.
- zapuzdrenie: PPP rámce sú najprv zabalené s hlavičkou L2TP a potom s hlavičkou UDP. Výsledok je zapuzdrený pomocou protokolu IPSec.
- šifrovanie: Správy L2TP sú zašifrované šifrovaním AES alebo 3DES pomocou kľúčov vygenerovaných z procesu vyjednávania IKE.
-
Protokol Secure Socket Tunneling Protocol (SSTP) - SSTP je tunelovací protokol, ktorý používa protokol HTTPS. Vzhľadom na to, že TCP Port 443 je otvorený pre väčšinu firemných firewallov, je to skvelá voľba pre krajiny, ktoré neumožňujú tradičné pripojenia VPN. Je tiež veľmi bezpečné, pretože používa SSL certifikáty na šifrovanie.
- zapuzdrenie: PPP rámce sú zapuzdrené v IP datagramoch.
- šifrovanie: Správy SSTP sú šifrované pomocou protokolu SSL.
-
Internetová výmena kľúčov (IKEv2) - IKEv2 je tunelovací protokol, ktorý používa protokol IPsec Tunnel Mode cez port UDP 500.
- zapuzdrenie: IKEv2 zapuzdruje datagramy pomocou hlavičiek IPSec ESP alebo AH.
- šifrovanie: Správy sú zašifrované šifrovaním AES alebo 3DES pomocou kľúčov vygenerovaných z procesu vyjednávania IKEv2.
Požiadavky na server
Poznámka: Samozrejme môžete mať iné operačné systémy nastavené ako VPN servery. Ide však o požiadavky na spustenie servera VPN systému Windows.
Ak chcete umožniť ľuďom vytvoriť pripojenie k sieti VPN, musíte mať server so systémom Windows Server a máte nainštalované nasledujúce role:
- Smerovanie a vzdialený prístup (RRAS)
- Server sieťových pravidiel (NPS)
Budete tiež musieť nastaviť DHCP alebo prideliť statický IP pool, ktorý môžu počítače používať cez VPN.
Vytvorenie pripojenia VPN
Ak sa chcete pripojiť k VPN serveru, kliknite pravým tlačidlom myši na ikonu stavu siete a otvorte Centrum pre sieť a zdieľanie.
Potom kliknite na položku Nastaviť nové pripojenie alebo sieťový hypertextový odkaz. 
Teraz sa pripojte k pracovisku a kliknite na tlačidlo Ďalej. 
Potom sa rozhodnite použiť existujúce širokopásmové pripojenie. 
P Teraz budete musieť zadať názov IP alebo DNS servera VPN v sieti, ku ktorej sa chcete pripojiť. Potom kliknite na tlačidlo Ďalej.
Potom zadajte svoje používateľské meno a heslo a kliknite na tlačidlo Connect.
Po pripojení budete môcť vidieť, či ste pripojení k VPN kliknutím na ikonu stavu siete. 
Image Domáca úloha
Prečítajte si nasledujúci článok o službe TechNet, ktorý vás prevedie plánovaním zabezpečenia VPN.
Poznámka: Dnešné domáce úlohy sú trochu mimo rozsah pre skúšku 70-680, ale vám poskytnú pevné pochopenie toho, čo sa deje za scénou, keď sa pripájate k VPN z Windows 7.
Ak máte nejaké otázky, môžete ma napísať @taybgibb, alebo zanechať komentár.
