בית ספר חנון: לימוד חלונות 7 - גישה מרחוק

תוכן ללא הכנסה

בחלק האחרון של הסדרה בדקנו כיצד אתה יכול לנהל ולהשתמש במחשבי Windows שלך מכל מקום ובלבד שאתה נמצא באותה רשת. אבל מה אם אתה לא?

הקפד לבדוק את המאמרים הקודמים בסדרה זו של Geek School ב- Windows 7:

• היכרות עם בית הספר How-To Geek
• שדרוגים והגירות
• קביעת תצורה של מכשירים
• ניהול דיסקים
• ניהול יישומים
• ניהול Internet Explorer
• יסודות כתובת IP
• רשת
• רשת אלחוטית
• חומת האש של Windows
• מינהל מרחוק

והישאר מעודכן להמשך הסדרה כל השבוע הזה.

הגנת גישה לרשת

הגנת גישה לרשת היא הניסיון של מיקרוסופט לשלוט בגישה למשאבי רשת בהתבסס על בריאות הלקוח שמנסה להתחבר אליהם. לדוגמא, במצב בו אתה משתמש במחשב נייד, יתכנו חודשים רבים שבהם אתה נמצא בדרכים ולא מחבר את המחשב הנייד לרשת הארגונית שלך. במהלך תקופה זו אין כל ערובה לכך שהמחשב הנייד שלך לא נדבק בווירוס או בתוכנה זדונית, או שאפילו תקבל עדכונים להגדרת אנטי-וירוס.

במצב זה, כאשר אתה חוזר למשרד ומחבר את המכונה לרשת, NAP תקבע באופן אוטומטי את תקינות המכונות על פי מדיניות שהגדרת באחד משרתי ה- NAP שלך. אם המכשיר שהתחבר לרשת נכשל בבדיקת הבריאות הוא יועבר אוטומטית לחלק מוגבל במיוחד ברשת שלך הנקרא אזור תיקון. כאשר הם נמצאים באזור השיקום, שרתי התיקון ינסו לתקן באופן אוטומטי את הבעיה במכונה. כמה דוגמאות יכולות להיות:

• אם חומת האש שלך מושבתת והמדיניות שלך מחייבת את הפעלתה, שרתי התיקון יאפשרו לך את חומת האש שלך.
• אם מדיניות הבריאות שלך קובעת שאתה צריך לקבל את העדכונים האחרונים של Windows ואתה לא, ייתכן שיהיה שרת WSUS באזור התיקון שלך שיתקין את העדכונים האחרונים על הלקוח שלך.

המכונה שלך תועבר חזרה לרשת הארגונית אם שרתי ה- NAP שלך מחשיבים אותה כבריאה. ישנן ארבע דרכים שונות בהן ניתן לאכוף את NAP, שלכל אחת מהן יתרונות משלה:

• VPN - שימוש בשיטת האכיפה של VPN מועיל בחברה שבה עובדים טלפונים מרחוק מהבית, באמצעות מחשבים משלהם. לעולם אינך יכול להיות בטוח באיזו תוכנה זדונית מישהו עשוי להתקין במחשב שאין לך שליטה עליו. כאשר אתה משתמש בשיטה זו, בריאות הלקוח תיבדק בכל פעם שהוא יזם חיבור VPN.
• DHCP - כאשר אתה משתמש בשיטת האכיפה של DHCP, הלקוח לא יקבל כתובות רשת חוקיות משרת ה- DHCP שלך לפני שתשתית ה- NAP שלך נחשבת לבריאה.
• IPsec - IPsec היא שיטה להצפנת תעבורת רשת באמצעות אישורים. אמנם לא נפוץ במיוחד, אך ניתן גם להשתמש ב- IPsec לאכיפת NAP.
• 802.1x - 802.1x נקרא לפעמים גם אימות מבוסס יציאה והוא שיטה לאימות לקוחות ברמת המתג. השימוש ב- 802.1x לאכיפת מדיניות NAP הוא נוהג סטנדרטי בעולם של ימינו.

חיבורי חיוג

מסיבה כלשהי בימינו מיקרוסופט עדיין רוצה שתדע על אותם חיבורי חיוג פרימיטיביים. חיבורי חיוג משתמשים ברשת הטלפון האנלוגית, המכונה גם POTS (שירות טלפון ישן רגיל), כדי להעביר מידע ממחשב אחד למשנהו. הם עושים זאת באמצעות מודם, שהוא שילוב של המילים לווסת ולשנות. המודם מתחבר למחשב האישי שלך, בדרך כלל באמצעות כבל RJ11, ומווסת את זרמי המידע הדיגיטלי מהמחשב האישי שלך לאות אנלוגי שניתן להעביר על קווי הטלפון. כאשר האות מגיע ליעדו הוא מוונן באמצעות מודם אחר והופך חזרה לאות דיגיטלי שהמחשב יכול להבין. על מנת ליצור חיבור חיוג, לחץ לחיצה ימנית על סמל סטטוס הרשת ופתח את מרכז הרשת והשיתוף.

לאחר מכן לחץ על הגדר חיבור חדש או היפר-קישור לרשת.

עכשיו בחר להגדיר חיבור חיוג ולחץ על הבא.

מכאן תוכלו למלא את כל המידע הנדרש.

הערה: אם תקבל שאלה הדורשת ממך להגדיר חיבור חיוג בבחינה, הם יספקו את הפרטים הרלוונטיים.

רשתות פרטיות וירטואליות

רשתות פרטיות וירטואליות הן מנהרות פרטיות שתוכלו להקים ברשת ציבורית, כגון אינטרנט, כך שתוכלו להתחבר בצורה מאובטחת לרשת אחרת.

לדוגמה, אתה יכול ליצור חיבור VPN ממחשב ברשת הביתית שלך, לרשת הארגונית שלך. באופן זה נראה כאילו המחשב האישי ברשת הביתית שלך היה באמת חלק מהרשת הארגונית שלך. למעשה, אתה יכול אפילו להתחבר למניות רשת וכי אם לקחת את המחשב ומחבר אותו פיזית לרשת העבודה שלך באמצעות כבל אתרנט. ההבדל היחיד הוא כמובן מהירות: במקום לקבל את מהירויות Gigabit Ethernet שהיית עושה אם היית פיזית במשרד, תוגבל על ידי מהירות חיבור הפס הרחב שלך.

אתם בטח תוהים עד כמה "המנהרות הפרטיות" הללו בטוחות מאחר והן "מנהרות" דרך האינטרנט. האם כל אחד יכול לראות את הנתונים שלך? לא, הם לא יכולים, וזה בגלל שאנחנו מצפינים את הנתונים שנשלחים דרך חיבור VPN, ומכאן השם רשת וירטואלית "פרטית". הפרוטוקול המשמש לקיפוד והצפנת הנתונים שנשלחו ברשת נותר בידך, ו- Windows 7 תומך בדברים הבאים:

הערה: למרבה הצער הגדרות אלה תצטרך לדעת בעל פה לבחינה.

• פרוטוקול מנהור נקודה לנקודה (PPTP) - פרוטוקול המנהור נקודה לנקודה מאפשר לכמוס את תעבורת הרשת לכותרת IP ולשלוח אותה דרך רשת IP, כגון האינטרנט.
  • כימוס : מסגרות PPP נעטפות בתרשים IP עם גרסה שונה של GRE.
  • הצפנה : מסגרות PPP מוצפנות באמצעות הצפנת נקודה לנקודה של מיקרוסופט (MPPE). מפתחות הצפנה נוצרים במהלך האימות כאשר משתמשים בפרוטוקולים פרוטוקול אימות לחיצת היד של מיקרוסופט אתגר גרסה 2 (MS-CHAP v2) או פרוטוקולי אימות מורחב- EAP-TLS).
• פרוטוקול מנהור שכבה 2 (L2TP) - L2TP הוא פרוטוקול מנהרות מאובטח המשמש להובלת מסגרות PPP באמצעות פרוטוקול האינטרנט, והוא מבוסס באופן חלקי על PPTP. בניגוד ל- PPTP, הטמעת מיקרוסופט של L2TP אינה משתמשת ב- MPPE להצפנת מסגרות PPP. במקום זאת L2TP משתמש ב- IPsec במצב תחבורה עבור שירותי הצפנה. השילוב של L2TP ו- IPsec מכונה L2TP / IPsec.
  • כימוס : מסגרות PPP עטופות תחילה בכותרת L2TP ואז בכותרת UDP. לאחר מכן תמצית את התוצאה באמצעות IPSec.
  • הצפנה : הודעות L2TP מוצפנות באמצעות הצפנת AES או 3DES באמצעות מפתחות שנוצרו מתהליך המשא ומתן של IKE.
• פרוטוקול מנהרות שקע מאובטח (SSTP) - SSTP הוא פרוטוקול מנהור המשתמש ב- HTTPS. מכיוון שנמל TCP 443 פתוח ברוב חומות האש הארגוניות, זוהי בחירה מצוינת עבור המדינות שאינן מאפשרות חיבורי VPN מסורתיים. זה גם מאובטח מאוד מכיוון שהוא משתמש באישורי SSL להצפנה.
  • כימוס : מסגרות PPP נעטפות בתרשימי IP.
  • הצפנה : הודעות SSTP מוצפנות באמצעות SSL.
• חילופי מפתחות באינטרנט (IKEv2) - IKEv2 הוא פרוטוקול מנהור המשתמש בפרוטוקול IPsec Tunnel Mode על פני יציאת UDP 500.
  • כימוס : IKEv2 עוטף תרשימים באמצעות כותרות IPSec ESP או AH.
  • הצפנה : ההודעות מוצפנות באמצעות הצפנת AES או 3DES באמצעות מפתחות שנוצרו מתהליך המשא ומתן של IKEv2.

דרישות שרת

הערה: ברור שמערכת הפעלה אחרת מוגדרת להיות שרתי VPN. עם זאת, אלה הדרישות להפעלת שרת VPN של Windows.

על מנת לאפשר לאנשים ליצור חיבור VPN לרשת שלך, עליך שיהיה לך שרת שמריץ את Windows Server ויש לו את התפקידים הבאים מותקנים:

• ניתוב וגישה מרחוק (RRAS)
• שרת מדיניות רשת (NPS)

יהיה עליך גם להגדיר DHCP או להקצות מאגר IP סטטי שמכונות שמתחברות באמצעות VPN יכולות להשתמש בו.

יצירת חיבור VPN

על מנת להתחבר לשרת VPN, לחץ לחיצה ימנית על סמל סטטוס הרשת ופתח את מרכז הרשת והשיתוף.

לאחר מכן לחץ על הגדר חיבור חדש או היפר-קישור לרשת.

כעת בחר להתחבר למקום עבודה ולחץ על הבא.

לאחר מכן בחר להשתמש בחיבור הפס הרחב הקיים שלך.

פ

כעת תצטרך להזין את שם ה- IP או ה- DNS של שרת ה- VPN ברשת שאליה תרצה להתחבר. ואז לחץ על הבא.

ואז הזן את שם המשתמש והסיסמה שלך ולחץ על התחבר.

לאחר שהתחברת, תוכל לראות אם אתה מחובר ל- VPN על ידי לחיצה על סמל מצב הרשת.

שיעורי בית

• קרא את ה המאמר הבא ב- TechNet, המדריך אותך בתכנון אבטחה עבור VPN.

הערה: שיעורי הבית של היום מעט מחוץ לתחום לבחינה 70-680 אך הם יעניקו לך הבנה מוצקה של המתרחש מאחורי הקלעים כשאתה מתחבר ל- VPN מ- Windows 7.

---

אם יש לך שאלות, אתה יכול לצייץ לי @taybgibb , או פשוט השאירו תגובה.