Pianificazione di una strategia di accesso remoto

Dial-up in rete consente a un client di Accesso remoto per stabilire una connessione dial-up a una porta su un server di accesso remoto. La configurazione del server di Accesso remoto determina quali risorse l'utente remoto può accedere. Gli utenti che si connettono tramite un server di Accesso remoto, connettersi alla rete come un normale utente l'accesso alle risorse LAN.

Virtual Private Networks (VPN) a garantire la sicurezza delle connessioni e avanzata attraverso una rete non protetta, fornendo i dati della vita privata. Private dati sono al sicuro in un ambiente pubblico. Accesso remoto VPN fornisce un ambiente comune dove molte fonti diverse, come intermediari, clienti e dipendenti di fuori del sito possono accedere alle informazioni tramite browser web o e-mail. Molte aziende di approvvigionamento proprie connessioni VPN tramite Internet. Attraverso i loro fornitori di servizi Internet, gli utenti remoti in esecuzione il software client VPN sono assicurato l'accesso privato al pubblico in un ambiente condiviso. Tunneling è il concetto utilizzato per descrivere un metodo di utilizzare uno Internetwork infrastrutture di trasferimento di un carico utile. Modalità tunnel IPSec IP consente carichi di essere crittografati e incapsulati in un IP in modo che possa essere inviato sulla Internetwork IP aziendale o Internet.

Routing è il processo che trasferisce i dati sul Internetwork da una rete locale (LAN) ad un altro. Router sono dispositivi che funzionano a livello di rete del I diversi tipi di traffico TCP / IP diventare importante quando si discute di routing e il protocolli di routing:

Ci sono una serie di tecnologie che consentono le connessioni di rete remoto, tra cui:

Il servizio Routing e Accesso remoto (RRAS) fornisce servizi di routing multiprotocollo per Microsoft Windows 2000 Server e Windows Server 2003. RRAS include una vasta gamma di funzioni che supportano unicast e multicast routing IP, IPX di routing, AppleTalk di routing e accesso remoto.

Determinazione organizzativa e delle esigenze degli utilizzatori

Determinazione delle esigenze di accesso remoto l'organizzazione e gli utenti dovrebbero essere una delle fasi iniziali, quando si pianifica la tua strategia di accesso remoto. Tutte le organizzazioni e tutti gli utenti non hanno in comune i requisiti di accesso remoto.

Da una prospettiva di organizzazione, alcune questioni che devono essere affrontate inizialmente sono:

Da un punto di vista degli utenti, alcuni problemi che devono essere affrontate inizialmente sono:

Determinare i tipi di accesso remoto per consentire il

Al momento di decidere il tipo specifico (s) di accesso remoto che si vuole consentire, dovete comprendere le esigenze della organizzazione e gli utenti che si sono identificati. Il punto focale è se l'accesso remoto tipo soddisfa queste esigenze. Un altro fattore importante che deve essere incluso quando si determina il tipo di accesso remoto che si sta per permettere è il costo e amministrative necessarie per attuare e mantenere sia il tipo di accesso remoto.

I diversi tipi di accesso remoto sono riassunte qui di seguito:

Dial-in di accesso remoto: Dial-in utilizza un modem di accesso remoto e il server che eseguono Routing e Accesso remoto (RRAS) servizio. Per abilitare la comunicazione, accesso dial-in utilizza il Point-to-Point (PPP) protocollo. I vantaggi di utilizzare dial-in di accesso remoto sono:

VPN di accesso remoto: fornisce una VPN sicura e avanzata connessioni attraverso una rete non protetta. Con accesso VPN, la crittografia viene utilizzata per creare il tunnel VPN tra il client remoto e la rete aziendale. I vantaggi di utilizzare un accesso VPN sono:

Wireless di accesso remoto: Le reti wireless sono definite dalla specifica IEEE 802.11. Con la tecnologia wireless, reti wireless, gli utenti si connettono alla rete tramite la connessione a un access point wireless (WAP). Le reti senza fili non hanno inbuilt la sicurezza fisica delle reti cablate, e purtroppo sono più inclini ad attacchi da parte di intrusi. Per garantire le reti wireless e connessioni wireless, gli amministratori possono esigere che tutte le comunicazioni senza fili per essere autenticato e crittografato. Ci sono una serie di tecnologie per la sicurezza senza fili che può essere utilizzato per proteggere le reti wireless. Quando si pianifica l'accesso remoto senza fili, la pianificazione della sicurezza per le reti senza fili dovrebbe essere un fattore di alta priorità.

Intesa Network Access Client Tipi:

Sulla base dei diversi tipi di accesso remoto, ci sono tre tipi di accesso alla rete client:

Dial-up cliente: dial-up Un client utilizza una connessione fisica per il server di accesso remoto per stabilire una connessione ad esso. Dial-up Un cliente può accedere alle risorse più o meno allo stesso modo, come se essi sono in realtà fisicamente collegati alla rete. Dial-up clienti possono:

Si consiglia di utilizzare una connessione dial-up cliente quando le seguenti condizioni sono presenti:

Internet non può essere utilizzato per accedere alle risorse nella rete aziendale a causa dei problemi di sicurezza.
Il throughput da fornire una connessione dial-up in modo adeguato soddisfa i requisiti di accesso remoto clienti - che sono in grado di eseguire le varie funzioni che hanno bisogno di.
Il costo delle linee telefoniche e modem sono ragionevoli.

Il client VPN: Un client VPN utilizza Internet, tunneling e protocolli TCP / IP per stabilire una connessione alla rete.

Client wireless: questi clienti la connessione alla rete attraverso le frequenze radio, come infrarossi frequenze.

Dial-In Access Considerazioni sulla progettazione

Il comune connessione remota metodi sono:

I fattori principali questioni o che avete bisogno di chiarire in sede di programmazione una connessione dial-up networking strategia sono:

Il metodo da utilizzare per assegnare gli indirizzi IP ai clienti: i metodi che è possibile scegliere tra l'assegnazione per assegnare gli indirizzi IP ai clienti sono:

Configurare il server RRAS di assegnare gli indirizzi IP ai clienti, utilizzando un pool di indirizzi statici definiti in server RRAS: In questo metodo, è necessario configurare il pool di indirizzi statici sul server RRAS. A pochi fattori da considerare su indirizzo statico assegnazione sono i seguenti:

Configurare il server RRAS per chiedere gli indirizzi IP per i client da un server DHCP: Questo metodo è più possibile, di utilizzare un indirizzo statico piscina. Client di accesso remoto è possibile assegnare gli indirizzi IP da la gamma di indirizzi IP già configurato per il server DHCP, eliminando così la possibilità di conflitto IP incarichi.

Il tipo di porte in entrata e il numero di porte che hai bisogno: I fattori che rientrano in questo dial-up networking pianificazione componenti sono:

La sicurezza si realizzerà per il dial-in strategia d'accesso: Ci sono due metodi che è possibile utilizzare per controllare quali utenti sono in grado di accedere alla rete da remoto:

Le diverse impostazioni sulla scheda Chiamate in della finestra di dialogo Proprietà di una particolare categoria di utenti sono:

Consentire l'accesso, l'utente è autorizzato ad accedere alla rete da remoto. I criteri di accesso remoto non sono inclusi nella decisione.
Negare l'accesso: l'utente viene negato l'accesso alla rete da remoto.
Controlla accesso tramite Criteri di accesso remoto, i criteri di accesso remoto se imporre o meno l'utente è consentito l'accesso remoto.

Criteri di accesso remoto può essere usato anche per limitare le connessioni remote dopo che sono stati autorizzati sulla base dei seguenti:

L'impostazione del timeout di inattività
Tempo massimo di sessione impostazione
Filtri di pacchetti IP
Crittografia forza
Indirizzi IP per le connessioni PPP e route statiche.

Considerazioni sulla progettazione di accesso VPN

Prima di esaminare la progettazione considerazioni per l'attuazione di una strategia di accesso remoto VPN, consente di guardare prima i componenti che sono necessarie per le connessioni VPN che si verifichi:

Il termine utilizzato per descrivere i dati che vengono inviati su una connessione dati con tunnel.

I fattori principali questioni o che avete bisogno di chiarire in sede di programmazione una VPN di accesso remoto strategia sono riassunte qui di seguito:

Il posizionamento del server VPN: Le scelte per il server VPN di collocamento sono:

I requisiti hardware del server VPN sono:

I protocolli VPN che verrà utilizzato: è possibile sostenere l'uso di uno o di entrambi i protocolli di tunneling VPN: Point-to-Point Tunneling Protocol (PPTP) o Layer Two Transport Protocol (L2TP). I fattori da considerare quando si decide che il protocollo VPN da utilizzare sono i seguenti:

Le esigenze dei clienti:

Wireless Remote Access Considerazioni sulla progettazione

I principali requisiti per consentire l'accesso remoto senza fili sono le seguenti:

Se vuoi che il tuo WAPs utilizzare gli IAS per l'autenticazione, è necessario effettuare le seguenti configurazioni aggiuntive:

Perché la sicurezza è una priorità per le reti senza fili, è necessario utilizzare adattatori WAPs e che supportano i seguenti:

Quando per la pianificazione di protezione wireless ricordare a decidere sui seguenti elementi:

Determinazione dei metodi di autenticazione per accesso remoto

Quando si pianifica la tua strategia di accesso remoto, è necessario determinare il metodo di autenticazione che verranno utilizzati per autenticare i client si connettono al server di accesso remoto. Una volta che si verifica l'autenticazione, l'autorizzazione a determinare il livello di accesso che l'utente ha accesso a risorse di rete. I vari protocolli di autenticazione sono di seguito elencati:

Determinazione del dominio funzionale Livelli

Il livello funzionalità di dominio per il dominio specificato che stabilire se le caratteristiche di sicurezza supplementari sono sostenuti, e quindi anche di accesso remoto, che riguarda le funzioni di sicurezza possono essere usati. Il dominio di Windows Server 2003 a livello funzionale è il più alto livello che possono essere specificati per un dominio. Tutte le funzioni di dominio di Active Directory sono disponibili in Windows Server 2003 di dominio livello funzionale, tra cui i seguenti:

Come controllare che il livello funzionalità di dominio è impostato per il dominio

Come aumentare il livello funzionalità di dominio per un dominio

La determinazione del livello di crittografia VPN per l'accesso

Per un accesso VPN, è necessario decidere il livello di crittografia che verranno utilizzati. Le opzioni sono:

Come abilitare l'accesso remoto per l'utente specifico

Fare clic sul pulsante Start, Strumenti di amministrazione, quindi fare clic su Active Directory Utenti e computer di aprire Active Directory Utenti e computer di console di gestione.
Nella struttura della console, espandere il dominio che contiene l'account utente che si desidera attivare l'accesso remoto per.
Selezionare il contenitore Utenti.
Nel riquadro di destra, individuare l'account utente che si desidera configurare.
Fai clic destro specifici account utente e quindi selezionare Proprietà dal menu di scelta rapida.
La finestra di dialogo Proprietà del l'utente apre.
Fare clic sulla scheda Chiamate in.
Nella zona di accesso remoto, fare clic su Consenti accesso opzione.
Fare clic su OK.

Come abilitare l'accesso remoto basato sul criterio di accesso remoto

Fare clic sul pulsante Start, Strumenti di amministrazione, quindi fare clic su Active Directory Utenti e computer di aprire Active Directory Utenti e computer di console di gestione.
Nella struttura della console, espandere il dominio che contiene l'account utente che si desidera attivare l'accesso remoto per.
Selezionare il contenitore Utenti.
Nel riquadro di destra, individuare l'account utente che si desidera configurare.
Fai clic destro specifici account utente e quindi selezionare Proprietà dal menu di scelta rapida.
La finestra di dialogo Proprietà del l'utente apre.
Fare clic sulla scheda Chiamate in.
Nella zona di accesso remoto, fare clic sul controllo di accesso tramite Criteri di accesso remoto opzione.
Fare clic su OK.

Come installare i certificati del computer per sostenere L2TP su IPSec per le connessioni VPN

Fare clic sul pulsante Start, Esegui e digitare mmc nella finestra di dialogo Esegui. Fare clic su OK.
Dal menu File, selezionare Aggiungi / Rimuovi snap-in.
Quando il Aggiungi / Rimuovi snap-in apre la finestra di dialogo, fare clic su Aggiungi.
Quando il Aggiungi snap-in apre la finestra di dialogo, selezionare i certificati rilasciati da disponibili e fare clic su Aggiungi.
Fare clic sul pulsante Chiudi per chiudere la Aggiungi snap-in apre la finestra di dialogo.
Fare clic su OK nella Aggiungi / Rimuovi snap-in finestra di dialogo.
Nella console Certificati, nella struttura della console, espandere Certificati.
Selezionare personali.
Fare clic sul menu Azione, quindi selezionare Tutte le attività, quindi Richiesta nuovo certificato.
La richiesta del certificato guidata lancia.
Fare clic su Avanti nella pagina iniziale della procedura guidata.
Per il tipo di certificato di richiesta, fare clic su Computer, quindi fare clic su Avanti.
Specificare un nome e una descrizione per il certificato di computer, quindi fare clic su Avanti.
Fare clic su Fine.

Come creare un criterio di accesso remoto per l'accesso wireless

Fare clic sul pulsante Start, Strumenti di amministrazione, quindi fare clic su Routing e Accesso remoto per aprire il Routing e Accesso remoto console.
Fare clic sul menu Azione, quindi selezionare Nuovo criterio di accesso remoto.
Il nuovo criterio di accesso remoto guidata lancia.
Fare clic su Avanti nella schermata iniziale del nuovo criterio di accesso remoto guidata.
Sulla politica Metodo pagina di configurazione, selezionare la Utilizzare la procedura guidata per configurare un tipico opzione politica.
Nel campo Nome politica, fornire un nome per la politica. Fare clic su Avanti.
Il metodo di accesso alla pagina, selezionare l'opzione wireless. Fare clic su Avanti.
Sulla utente o gruppo di accesso, selezionare il gruppo, quindi fare clic sul pulsante Aggiungi.
Specifica il gruppo, quindi fare clic su OK e Avanti.
Selezionare la smart card o altro certificato di opzione e quindi fare clic su Avanti.
Fare clic su Fine.

Come disabilitare l'autenticazione basata su password

Poiché l'autenticazione basata su password è considerato un debole metodo di autenticazione per garantire l'accesso remoto, è necessario disattivare l'utilizzo dei seguenti metodi di autenticazione basata su password / protocolli:

Password Authentication Protocol (PAP)
Shiva Password Authentication Protocol (SPAP)
Challenge Handshake Authentication Protocol (CHAP):
Microsoft Challenge Handshake Authentication Protocol Version 1 (MS-CHAP v1)

Per fare questo,

Fare clic sul pulsante Start, Strumenti di amministrazione, quindi fare clic su Routing e Accesso remoto per aprire il Routing e Accesso remoto console.
Nella struttura della console, selezionare il server, quindi fare clic sul menu Azione per selezionare il comando Proprietà.
Passare alla scheda Protezione.
Fare clic sul pulsante Metodi di autenticazione.
La finestra di dialogo Metodi di autenticazione si apre.
Disattivare la casella di controllo per Microsoft Encrypted Authentication (MS-CHAP).
Disattivare la casella di controllo per Encrypted Authentication (CHAP).
Disattivare la casella di controllo per Shiva Password Authentication Protocol (SPAP)
Disattivare la casella di controllo per non codificati Password (PAP).
Fare clic su OK.

Bookmark uno Pianificazione strategia di accesso remoto

Come abilitare l'accesso remoto per l'utente specifico

Come abilitare l'accesso remoto basato sul criterio di accesso remoto

Come installare i certificati del computer per sostenere L2TP su IPSec per le connessioni VPN

Come creare un criterio di accesso remoto per l'accesso wireless

Come disabilitare l'autenticazione basata su password

Ultimi post sul blog