6-Network Access (VPN)

8/3/2019 6-Network Access (VPN)

1/13

NETWORK ERM KONFGURASYONU (Network Access Point (Eriim Noktas) Conf.)


2/13

NETWORK ACCESS YAPISI 3 KATMANDAN OLUUR:1- Network Access Clients

2- Network Access Servers: Dial-in server, VPN Server veya Wireless Access Point

Network Access Server; clientlerin networke girmesi iin bir gateway grevi grr


3/13

Network Access Serveri konfigure etmek iin nelere ihtiyacmz var?

- Hangi server router grevi yapacak- Authenticaiton salaycs ve destekleyicisi kim olacak?- Clientlerin balant gereksinimleri nelerdir?- Ip adres atamasn kim yapacak? (eer ortamda DHCP yoksa ve clientler statik IPli ise IP adresi

datacak makine bir nevi kk bir DHCP gibi alp sadece balant kuracak makinelere IPdatr.)

- Data aktarm esnasnda hangi protocol kullanlacak?L2TP (Layer 2 Tunnel Protocol) PPTP(Point to point ptrotocol)

Tm compressli Compressli Ak

PPTP: gvenli bir protocol deildir. Nereden gelip nereye gittii anlalabilir. L2TP: her iki tarafda compressli olduu iin gvenlidir. Ama header compressli olduundan Network

Access Server firewallu tarafndan kabul edilmeyebilir.- Even logging (gnlk kayd) kim yapacak?3- IAS (RADIUS)

IAS: Internet Authentication Server: Bu makine AD ile Access serverlar arasnda bulunan tamponmakinedir. Ne yapar?

1- Access serverlarn direkt olarak ADye eriimini engelleyerek herhangi bir saldrya kar tamponblge oluturur.

2- Access Serverlarda hazrlanan policyler IASda hazr tutulur. Balant kurmak isteyen clientleringeilerine bu policyler aracl ile izin verir ya da reddeder.

Authentication: Balant srasnda kullanclarn gvenilirliklerinin onaylanmas. Network Access Servertarafndan yaplr.

data header data headerSourceDestinationMAC address

SourceDestinationMAC address


4/13

Authorization: Onaylanan kullanclarn kaynaklara eriimine izin verilmesinin dorulanmas.

AUTHENTICATION PROTOCOLS:

CHAP : Unix veya Linux kullanlan networklarda uygulanr. Sadece data compresslidir. Header aktr.Gvenli deildir.

PAP: Password aouthentication portocol. Data ok basitelilde sktrlmtr. Gvenli deildir.

SPAP: Shiva isimli cihaz araclyla balant kurularak yaplan aouthentication protocoldr. Data veheader compresslidir. Data sktrmas iyi, header sktrmas basicdir. Bu sebeple gvenli deildir.

MS-CHAP : Microsofta ait, hem certification ham de hash algoritmas kullanan bir protocoldur. Win 98 vent 4.0larn kullanm iindir.

BURAYA KADARK TM PROTOCOLLERDE NETWORK ACCESS SERVERKAYITSIZ ARTSIZHER PAKET ER GERR. BUNDAN SONRAK PROTOCOLLER KARILIKLI ONAYLAMAOLMADAN PAKET ER ALMAZ.

MS-CHAP V2: win 2000, 2003 ve XP iindir. MS-CHAPdan tek fark paketi ieri geirmek iin karlkl

onay bekler. Cert. Uygunsa paketi ieri alr. Eer domain varsa paketler beraber ADnin mhr de alnr.

EAP-TLS: Smart card + Cert. Authentication. Sertifikann yars Netwrok Access Serverda, yars gelenpakettedir. ki yar birbirine uyarsa paket ieri alnr. (kullanlmas tavsiye ediliyor)

PEAP:

MD-5 Challenge:

VPN NASIL ALIIR:Components:

1- Authentication ve VPN Server iin DC gerekli.2- IP vermek iin DHCP gerekli.

VPN data transferinde hangi protocol kullanr?

REMOTE ACCESS VEYA VPN KURMADAN NCE:

1-

2 adet Ethernet kart olmaldr. Biri Authentication iin dieri Authorization iin. 2- VPN ile balant kuracak clientlar nereden IP alacak? VPNden mi? DHCPden mi? 3- Authentication ve autorization nasl olacak? Arada IAS olacak m olmayacak m?


5/13

KURULUMU: Programs/administrative tools/routing and remote accessden girilir.


6/13

Da bakacak bacak hangisi iseburada o Ethernet kart iaretlenmeli


7/13

SERVER/PROPERTIES/IP sekmesinden DHCP kullanyorsak DHCPyi, kullanmyorsak statik olarakvereceimiz belli bir IP araln buradan seerek IP adres tahsis edebiliriz

Balant ayarlar yapldktan sonra balant kurulabilmesi iin Server ve client tarafnda paketleringeebilmesi iin birka ayarn daha yaplmas gerekir.

Burada grlen adapter ksmna ibacak ethernet kart girilmelidir.

Buradaki check box da Grant remoteAccess permision olarak iaretlenmeli


8/13

Active directoryde ComputersSekmesinde balanlacak clientin

Propertiesine girilip Dial-insekmesindeki Allow Access checkbox iaretlenmelidir. Defaultta budeny olarak gelir.

Ayn ayar Users sekmesinde Clienthangi hesapla balanyorsa (bizdeadministrator) o hesabnpropertiesinden dial-ine girilip oradada allow iaretlenmeli.

Client tarafnda da balantoluturmak iin My networkPlaces/properties/Create new

connection deyip, ekildeki gibidevam edilip, balant ad verilir,balanlacak serverin d bacannIPsi girilir. Balant sihirbaztamamlanr. Balanrken de kullancad ve ifre girilerek balantgerekletirilir.


9/13

WIRELESS CONNECTION:

802.11a : 54 mbitlik balant hz vardr.802.1x : Kullanclarn balantdan nce authenticate olmasn ister. (WLANlar iin emniyetli bir balanttrdr.)

Authentication Methots on Wireless Connection

EAP-MS-CHAP V2 : Mutual Authentication (karlkl onaylama) Server authentication iin cert. kullanr.Client authentication iin Kullanc ad ve Password kullanr.

EAP-TLS: En kuvvetli metottur. Hem server hem client iin cert. kullanlr.

PEAP: Hem EAP-TLS hem de EAP-MS-CHAP V2 destei vardr. LANdaki sorgulamay bile encryptionluyapar.

DIAL IN CONNECTION/ DIAL UP PERMISIONS/Dial up permisions Remote Access Policy ile belirlenir.

Remote Access Policyi 3 element oluturur.1- Conditions (artlar) : Bir veya birden fazla tanmlanan artlar salanrsa geie izin verilir.2- Kullanc yetkileri. Remote Access permisions denydir.3- Profile : Hangi ayarlar ile profile yetkilendirilecek?

Remote Access Policy Profile:

1- Kullanc ierde hi bir eyyapmadan ne kadar srekalabilir : 30 dk.

2- Kullanc balantykullanyor olsa bile ne kadarsre bal kalabilir: 60 dk.

3- Kullanc haftann hangign hangi saatler arasndabalant kurabilir?

4- Kullancnn bizebalanaca telefonnumaramz nedir. (modemebal olan)

5- Kullanc bize hangi medialararacl ile balansn?(Modem, VPN vs.)

Grld gibi balant kurallaren kstldan en genele doruiner.


10/13

Eer birden fazla kullanc ayn andabalant kuracaksa ve bu kullancsaysndan fazla kii balanmakisterse fazlalk olan kullanc yeralana kadar bekletilir. Yer alncabo yere yerletirilir. Bu multilink ileyaplr. Burada kabul edilecek

kullanc says belirlenir.

Balant iin kullanlacak kapasite deburadan belirlenir. BAP aracl ilebu kapasite balant kuran clientlerarasnda eit olarak datlr.

Burada authentication metotlarbelirlenir. User can changepassword after it has expiredsekmesi uzaktaki userlar eerbalant sreleri dolduysa gelip loginolamayacaklarndan dardanADyeeriip yeni password almalar iinkullanlr. nk userlarn balantsrelerinin yenilenmesi iin networkiinde login olmalar arttr.

Burada iten gelen veya da kanpaketlerin filtrelendirilmesi yaplabilir


11/13

Burada ifreleme metotlar belirleniz.stee gre basicten Stronga kadarbelirlenebilir. Ya da hi ifrelemeyaplmaz.


12/13

RADIUS AUTHENTICATION:

Merkezi yetkilendirme, onaylama ve accounting (AD hesap bilgisini kime veriyor)

Client internet aracl ile RRASa gelir. Kullanc ad ve PWu RRASa gnderir. RRAS bu talebi IASagnderir. IASda DCye sorar. Bu adamn kayd var m diye. Eer Accounting onay ilemi RADIUS ileayarlanrsa onay tekrar IASa oradan da RRASa gider. Eer onay ilemi Windows Authentication olarakayarlanrsa onay IAS pas geilerek direk RRASa gider.

LAN

RRAS: Radius client

IAS: Radius ServerDC

Internet


13/13

RADIUSUN GREV NEDR?1- VPN, Dial-up veya Wireless clientlerini merkezi olarak ynetilebilir. Policyler RRASda deil IASda

tutulur.2- Balant talepleri veya accounting mesajlar RADIUS clientlerde veya proxylerde izlenir.

KURULUM:Elimizde en az 2 server olmal. Birine DC ve RRAS, dierine ise IAS kurulur. IASda RADIUS clientleroluturulur.

Documents

6-Network Access (VPN)