Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Aula 8 infraestrutura - 25022012

249 views

Published on

  • Be the first to comment

  • Be the first to like this

Aula 8 infraestrutura - 25022012

  1. 1. Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012Autor: Thiago Inácio de MatosContato: thiago.matos@outlook.com.brVPNPPTP1. Criptografia de 40 bits (não utilizado pelas grandes empresas)L2TP1. Possui dois métodos de criptografia1. Criptografia de 128 bits (chave pré compartilhada)2. Criptografia de 2048 bits (certificado/IPSec)SSTP1. Criptografia de 2048 bits usa somente a porta 443IKEV21. Criptografia de 2048 bits possui reconexão automáticaLABServer1Server2Server3Client1Instar as funções de AD/DNS no server1, IIS no server2 e o NAT no server3
  2. 2. Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012Autor: Thiago Inácio de MatosContato: thiago.matos@outlook.com.brPPTP +RRASCliente1. Central de rede e compartilhamento2. Conectar a um local de trabalho3. Usar minha conexão coma Internet4. Configurar a conexão de internet mais tarde5. IP externo do NAT // Nome escolha livre6. Marcar “Permitir que ouras pessoas usem esta conexão” que é requisito para ADConfigurações para conexão1. Desabilitar o NAT (passo necessário para realizar os testes com o RRAS)2. Habilitar o Roteamento de LAN (RRAS)1. Botão direito na guia geral2. Habilitar a opção de servidor de acesso remoto IPv43. No AD dar permissão ao usuário que fará o acesso remoto1. IR ao Usuário e grupos locais2. Propriedades do usuário que utilizará a VPN3. Permissão de acesso à rede – Permitir acesso3. No servidor de RRAS4. Botão direito em portas5. Seleciona PPTP – configurar6. Habilitar conexões de acesso remoto (somente de entrada)Para que seja possível a navegação dentro da rede existem duas formas uma é por meio de DHCP eoutra é através de configuração de range IP no servidor do RRAS1. Propriedades de roteamento e acesso remoto2. Guia IPv43. Pool de endereços estáticos4. Adicionar5. Inserir o rangesNota:A porta que é habilitada é a 1723Outro protocolo que é utilizado é o GREPPTP +NATConfigurações normais do NATNa placa de saída configurar a opção Gateway VPN (PPTP) e em endereço particular inserir oendereço de loopbackL2TP+chave1. Central de rede e compartilhamento2. Conectar a um local de trabalho
  3. 3. Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012Autor: Thiago Inácio de MatosContato: thiago.matos@outlook.com.br3. Usar minha conexão coma Internet4. Configurar a conexão de internet mais tarde5. IP externo do NAT // Nome escolha livre6. Marcar “Permitir que ouras pessoas usem esta conexão” que é requisito para AD7. No discador configurado1. Na guia segurança escolher o Tipo de VPN como L2PT2. Em configurações avançadas – inserir uma chave pré compartilhada8. No servidor de VPN1. Propriedades de roteamento e acesso remoto2. Guia segurança3. Marcar a caixa permitir diretiva IPSec personalizada para conexão L2PT4. Inserir a chave pré compartilhadaL2PT+IPSecPara a atender as necessidades é necessário instalar um AD CS no DCGerenciador de servidoresAdicionar funçãoServiço de Certificado do Active DirectoryAutoridade de certificaçãoRegistro na Web de Autoridade de CertificaçãoFazer com que os computadores confiem na CA (gpupdate /force nos equipamentos da rede)É necessário criar um novo certificadoModelos de certificadoNo lado direito da tela > Botão direito > gerenciar (abre o console de modelo de certificado) >IPSec (solicitação off-line) > Botão direito Modelo Duplicado para gerar uma cópia do certificado >Windows server 2003 enterprise por questões de segurança e você manter o original.No novo certificado > Guia tratamento de solicitação > marcar “permitir que a chave privada sejaexportada” >No novo certificado > Guia segurança > adicionar o usuário todos > dar controle totalPara que seja possível a visualização do novo modelo de cerificado é necessário seguir o seguintepasso.Modelo de certificado > no lado direto, clicar com o botão direito > novo > modelo de certificado aser emitido > escolher o certificado e clicar em OKSolicitando o certificadoConfiguração do MMCAdicionar certificados > conta de computador (local) e minha conta de usuárioSolicitar o certificado pelo site de certificado > http://192.168.x.x/certsrv > solicitar certificado >
  4. 4. Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012Autor: Thiago Inácio de MatosContato: thiago.matos@outlook.com.brsolicitação avançada > criar e enviar uma solicitação para a CANa página de certificado preencher da seguinte forma:Modelo de certificado – Escolher o certificado de IPSec configurado anterior mente:Informações de identificação para modelo off-line -Nome: nome FQDN do equipamentoAvançar e instalar o certificadoCom esse procedimento temos um certificado de usuário, para termos ele como um certificado decomputador é necessário exportar o certificado criado.Botão direto no certificado > todas as tarefas > exportar > Exportar a chave privadaEm certificados de comutador > pessoal > botão direito na área da direita > todas as tarefas >importar.Para o computador que não está no domínio confiar na CaO primeiro passo é criar uma regra no NAT para que seja possível acessar o site da CAPara configura na CA é necessário:Fazer o download de um certificado de autoridade de certificação, cadeia de certificados ou lista decertificados revogados > fazer download de certificado da autoridade de certificação > importar ocertificado baixado através do MMC de certificados > adicionar certificados de usuário ecomputador local > importar para autoridade certificação de raiz confiáveisO FQDN a ser utilizado vai ser apenas o nome do computador, já que ele não está no domínioDNSSecÉ um padrão internacional que estende a tecnologia DNS. O que DNSSec adiciona é umsistema de resolução de nomes mais severo, reduzindo risco de manipulação de dados einformações. O mecanismo utilizado pelo DNSSec é baseado na tecnologia de criptografia dechaves públicas.DNSSec fornece autenticidade e integridade das respostas DNS.DNS soluciona problemas encontrados na atual tecnologia DNS.No protocolo DNS, um ataque onde a informação é corrompida é extremamente difícil deser detectado, e praticamente impossível de ser prevenido.O objetivo da extensão DNSSec é assegurar o conteúdo do DNS e impedir estes ataquesvalidando os dados e garantindo a origem das informaçõesInstalar a função de DNSCriar uma zona primaria com o nome domx.localPrimeiro passo é realizar um backup da zona atual com o comando abaixoDnscmd serverx /zoneexport domx.local bkpdns
  5. 5. Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012Autor: Thiago Inácio de MatosContato: thiago.matos@outlook.com.brO arquivo de backup fica em %system32%dnsnome-do-arquivoGerar a chave pública do dnsKSK (Key Signing Keys)Dnscmd /offlinesign /genkey /alg rsash1 /flags ksk /length 2048 /zone domx.local /sscert/friendlyname ksk.dom11.localPara atrelar a zona dnsZSK (Zone Signing Keys)Dnscmd /offlinesign /genkey /alg rsash1 /length 2048 /zone domx.local /sscert /friendlynamezsk.dom11.localAssinar a zonaDnscmd /offlinesign /signzone /input c:windowssystem32nome_do_backup /output“caminho_desejado” /zone domx.local /signkey /validto (data usando o seguinte formato[AAAAMMDDHHMMSS]) validfrom (data usando o seguinte formato[AAAAMMDDHHMMSS]) /friendlyname “nome_amigável_do_certificado”É necessário deletar a zonaAdicionar zona assinada:Dnscmd serverx /zoneadd dom6.local /dsprimary /file“arquivo_criado_durante_a_assinatura_da_zona” /loadEm modo gráficoNo console de dnsAdicionar uma nova zona primária > de o mesmo nome da chave anterior > usar este arquivoexistenteClique com botão direito no serverx > propriedades > guia âncora de confiança > adicionar > nome= domx.local; marcar a checkbox ponto de entrada seguro; em chave pública copiar a primeira linhado arquivo keyset referente ao seu domínio e ok

×