SlideShare ist ein Scribd-Unternehmen logo

Aula 8 infraestrutura - 25022012

T
Thiago Inacio de Matos
1 von 5
Downloaden Sie, um offline zu lesen
Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012 Autor: Thiago Inácio de Matos Contato: thiago.matos@outlook.com.br VPN PPTP 1. Criptografia de 40 bits (não utilizado pelas grandes empresas) L2TP 1. Possui dois métodos de criptografia 1. Criptografia de 128 bits (chave pré compartilhada) 2. Criptografia de 2048 bits (certificado/IPSec) SSTP 1. Criptografia de 2048 bits usa somente a porta 443 IKEV2 1. Criptografia de 2048 bits possui reconexão automática LAB Server1 Server2 Server3 Client1 Instar as funções de AD/DNS no server1, IIS no server2 e o NAT no server3
Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012 Autor: Thiago Inácio de Matos Contato: thiago.matos@outlook.com.br PPTP +RRAS Cliente 1. Central de rede e compartilhamento 2. Conectar a um local de trabalho 3. Usar minha conexão coma Internet 4. Configurar a conexão de internet mais tarde 5. IP externo do NAT // Nome escolha livre 6. Marcar “Permitir que ouras pessoas usem esta conexão” que é requisito para AD Configurações para conexão 1. Desabilitar o NAT (passo necessário para realizar os testes com o RRAS) 2. Habilitar o Roteamento de LAN (RRAS) 1. Botão direito na guia geral 2. Habilitar a opção de servidor de acesso remoto IPv4 3. No AD dar permissão ao usuário que fará o acesso remoto 1. IR ao Usuário e grupos locais 2. Propriedades do usuário que utilizará a VPN 3. Permissão de acesso à rede – Permitir acesso 3. No servidor de RRAS 4. Botão direito em portas 5. Seleciona PPTP – configurar 6. Habilitar conexões de acesso remoto (somente de entrada) Para que seja possível a navegação dentro da rede existem duas formas uma é por meio de DHCP e outra é através de configuração de range IP no servidor do RRAS 1. Propriedades de roteamento e acesso remoto 2. Guia IPv4 3. Pool de endereços estáticos 4. Adicionar 5. Inserir o ranges Nota: A porta que é habilitada é a 1723 Outro protocolo que é utilizado é o GRE PPTP +NAT Configurações normais do NAT Na placa de saída configurar a opção Gateway VPN (PPTP) e em endereço particular inserir o endereço de loopback L2TP+chave 1. Central de rede e compartilhamento 2. Conectar a um local de trabalho
Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012 Autor: Thiago Inácio de Matos Contato: thiago.matos@outlook.com.br 3. Usar minha conexão coma Internet 4. Configurar a conexão de internet mais tarde 5. IP externo do NAT // Nome escolha livre 6. Marcar “Permitir que ouras pessoas usem esta conexão” que é requisito para AD 7. No discador configurado 1. Na guia segurança escolher o Tipo de VPN como L2PT 2. Em configurações avançadas – inserir uma chave pré compartilhada 8. No servidor de VPN 1. Propriedades de roteamento e acesso remoto 2. Guia segurança 3. Marcar a caixa permitir diretiva IPSec personalizada para conexão L2PT 4. Inserir a chave pré compartilhada L2PT+IPSec Para a atender as necessidades é necessário instalar um AD CS no DC Gerenciador de servidores Adicionar função Serviço de Certificado do Active Directory Autoridade de certificação Registro na Web de Autoridade de Certificação Fazer com que os computadores confiem na CA (gpupdate /force nos equipamentos da rede) É necessário criar um novo certificado Modelos de certificado No lado direito da tela > Botão direito > gerenciar (abre o console de modelo de certificado) > IPSec (solicitação off-line) > Botão direito Modelo Duplicado para gerar uma cópia do certificado > Windows server 2003 enterprise por questões de segurança e você manter o original. No novo certificado > Guia tratamento de solicitação > marcar “permitir que a chave privada seja exportada” > No novo certificado > Guia segurança > adicionar o usuário todos > dar controle total Para que seja possível a visualização do novo modelo de cerificado é necessário seguir o seguinte passo. Modelo de certificado > no lado direto, clicar com o botão direito > novo > modelo de certificado a ser emitido > escolher o certificado e clicar em OK Solicitando o certificado Configuração do MMC Adicionar certificados > conta de computador (local) e minha conta de usuário Solicitar o certificado pelo site de certificado > http://192.168.x.x/certsrv > solicitar certificado >
Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012 Autor: Thiago Inácio de Matos Contato: thiago.matos@outlook.com.br solicitação avançada > criar e enviar uma solicitação para a CA Na página de certificado preencher da seguinte forma: Modelo de certificado – Escolher o certificado de IPSec configurado anterior mente: Informações de identificação para modelo off-line - Nome: nome FQDN do equipamento Avançar e instalar o certificado Com esse procedimento temos um certificado de usuário, para termos ele como um certificado de computador é necessário exportar o certificado criado. Botão direto no certificado > todas as tarefas > exportar > Exportar a chave privada Em certificados de comutador > pessoal > botão direito na área da direita > todas as tarefas > importar. Para o computador que não está no domínio confiar na Ca O primeiro passo é criar uma regra no NAT para que seja possível acessar o site da CA Para configura na CA é necessário: Fazer o download de um certificado de autoridade de certificação, cadeia de certificados ou lista de certificados revogados > fazer download de certificado da autoridade de certificação > importar o certificado baixado através do MMC de certificados > adicionar certificados de usuário e computador local > importar para autoridade certificação de raiz confiáveis O FQDN a ser utilizado vai ser apenas o nome do computador, já que ele não está no domínio DNSSec É um padrão internacional que estende a tecnologia DNS. O que DNSSec adiciona é um sistema de resolução de nomes mais severo, reduzindo risco de manipulação de dados e informações. O mecanismo utilizado pelo DNSSec é baseado na tecnologia de criptografia de chaves públicas. DNSSec fornece autenticidade e integridade das respostas DNS. DNS soluciona problemas encontrados na atual tecnologia DNS. No protocolo DNS, um ataque onde a informação é corrompida é extremamente difícil de ser detectado, e praticamente impossível de ser prevenido. O objetivo da extensão DNSSec é assegurar o conteúdo do DNS e impedir estes ataques validando os dados e garantindo a origem das informações Instalar a função de DNS Criar uma zona primaria com o nome domx.local Primeiro passo é realizar um backup da zona atual com o comando abaixo Dnscmd serverx /zoneexport domx.local bkpdns
Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012 Autor: Thiago Inácio de Matos Contato: thiago.matos@outlook.com.br O arquivo de backup fica em %system32%dnsnome-do-arquivo Gerar a chave pública do dns KSK (Key Signing Keys) Dnscmd /offlinesign /genkey /alg rsash1 /flags ksk /length 2048 /zone domx.local /sscert /friendlyname ksk.dom11.local Para atrelar a zona dns ZSK (Zone Signing Keys) Dnscmd /offlinesign /genkey /alg rsash1 /length 2048 /zone domx.local /sscert /friendlyname zsk.dom11.local Assinar a zona Dnscmd /offlinesign /signzone /input c:windowssystem32nome_do_backup /output “caminho_desejado” /zone domx.local /signkey /validto (data usando o seguinte formato [AAAAMMDDHHMMSS]) validfrom (data usando o seguinte formato [AAAAMMDDHHMMSS]) /friendlyname “nome_amigável_do_certificado” É necessário deletar a zona Adicionar zona assinada: Dnscmd serverx /zoneadd dom6.local /dsprimary /file “arquivo_criado_durante_a_assinatura_da_zona” /load Em modo gráfico No console de dns Adicionar uma nova zona primária > de o mesmo nome da chave anterior > usar este arquivo existente Clique com botão direito no serverx > propriedades > guia âncora de confiança > adicionar > nome = domx.local; marcar a checkbox ponto de entrada seguro; em chave pública copiar a primeira linha do arquivo keyset referente ao seu domínio e ok

Empfohlen

Aula 11 infraestrutura - 17032012
Aula 11 infraestrutura - 17032012Aula 11 infraestrutura - 17032012
Aula 11 infraestrutura - 17032012Thiago Inacio de Matos
 
Aula 6 infraestrutura - 04022012
Aula 6 infraestrutura - 04022012Aula 6 infraestrutura - 04022012
Aula 6 infraestrutura - 04022012Thiago Inacio de Matos
 
Aula 7 infraestrutura - 11022012
Aula 7 infraestrutura - 11022012Aula 7 infraestrutura - 11022012
Aula 7 infraestrutura - 11022012Thiago Inacio de Matos
 
Aula ix infraestrutura - 03032012
Aula ix infraestrutura - 03032012Aula ix infraestrutura - 03032012
Aula ix infraestrutura - 03032012Thiago Inacio de Matos
 
Aula 1 ea - 11052013
Aula 1 ea - 11052013Aula 1 ea - 11052013
Aula 1 ea - 11052013Thiago Inacio de Matos
 
Os 5S's da gestão
Os 5S's da gestãoOs 5S's da gestão
Os 5S's da gestãoThiago Inacio de Matos
 
Programa 5S
Programa 5SPrograma 5S
Programa 5SProfessor Carlos Augusto
 
AprersentaçãO 5 S
AprersentaçãO 5 SAprersentaçãO 5 S
AprersentaçãO 5 Sguestb15f10
 

Empfohlen

Aula 11 infraestrutura - 17032012
Aula 11 infraestrutura - 17032012Aula 11 infraestrutura - 17032012
Aula 11 infraestrutura - 17032012Thiago Inacio de Matos
 
Aula 6 infraestrutura - 04022012
Aula 6 infraestrutura - 04022012Aula 6 infraestrutura - 04022012
Aula 6 infraestrutura - 04022012Thiago Inacio de Matos
 
Aula 7 infraestrutura - 11022012
Aula 7 infraestrutura - 11022012Aula 7 infraestrutura - 11022012
Aula 7 infraestrutura - 11022012Thiago Inacio de Matos
 
Aula ix infraestrutura - 03032012
Aula ix infraestrutura - 03032012Aula ix infraestrutura - 03032012
Aula ix infraestrutura - 03032012Thiago Inacio de Matos
 
Aula 1 ea - 11052013
Aula 1 ea - 11052013Aula 1 ea - 11052013
Aula 1 ea - 11052013Thiago Inacio de Matos
 
Os 5S's da gestão
Os 5S's da gestãoOs 5S's da gestão
Os 5S's da gestãoThiago Inacio de Matos
 
Programa 5S
Programa 5SPrograma 5S
Programa 5SProfessor Carlos Augusto
 
AprersentaçãO 5 S
AprersentaçãO 5 SAprersentaçãO 5 S
AprersentaçãO 5 Sguestb15f10
 
Aula 5 infraestrutura - 28012012
Aula 5 infraestrutura - 28012012Aula 5 infraestrutura - 28012012
Aula 5 infraestrutura - 28012012Thiago Inacio de Matos
 
Aula 4 infraestrutura - 14012012
Aula 4 infraestrutura - 14012012Aula 4 infraestrutura - 14012012
Aula 4 infraestrutura - 14012012Thiago Inacio de Matos
 
Aula 3 intraestrutura - 07012012
Aula 3 intraestrutura - 07012012Aula 3 intraestrutura - 07012012
Aula 3 intraestrutura - 07012012Thiago Inacio de Matos
 
Aula 2 infraestrutura - 17122011
Aula 2 infraestrutura - 17122011Aula 2 infraestrutura - 17122011
Aula 2 infraestrutura - 17122011Thiago Inacio de Matos
 
Aula 1 infraestrutura - 10122011
Aula 1 infraestrutura - 10122011Aula 1 infraestrutura - 10122011
Aula 1 infraestrutura - 10122011Thiago Inacio de Matos
 
Aula 12 infraestrutura - 24032012
Aula 12 infraestrutura - 24032012Aula 12 infraestrutura - 24032012
Aula 12 infraestrutura - 24032012Thiago Inacio de Matos
 
Sistema 5 s
Sistema 5 sSistema 5 s
Sistema 5 sThiago Inacio de Matos
 
Compilando o kernel linux (2)
Compilando o kernel linux (2)Compilando o kernel linux (2)
Compilando o kernel linux (2)Thiago Inacio de Matos
 
Controle de congestionamento tcp
Controle de congestionamento tcpControle de congestionamento tcp
Controle de congestionamento tcpThiago Inacio de Matos
 
Aula 8 active diretory - 29092012
Aula 8 active diretory - 29092012Aula 8 active diretory - 29092012
Aula 8 active diretory - 29092012Thiago Inacio de Matos
 
Aula 7 active diretory - 22092012
Aula 7 active diretory - 22092012Aula 7 active diretory - 22092012
Aula 7 active diretory - 22092012Thiago Inacio de Matos
 
Aula 9 active diretory - 06092012
Aula 9 active diretory - 06092012Aula 9 active diretory - 06092012
Aula 9 active diretory - 06092012Thiago Inacio de Matos
 
Aula 1 active diretory - 04082012
Aula 1 active diretory - 04082012Aula 1 active diretory - 04082012
Aula 1 active diretory - 04082012Thiago Inacio de Matos
 

Weitere ähnliche Inhalte

Mehr von Thiago Inacio de Matos

Mehr von Thiago Inacio de Matos (13)

Aula 5 infraestrutura - 28012012
Aula 5 infraestrutura - 28012012Aula 5 infraestrutura - 28012012
Aula 5 infraestrutura - 28012012
 
Aula 4 infraestrutura - 14012012
Aula 4 infraestrutura - 14012012Aula 4 infraestrutura - 14012012
Aula 4 infraestrutura - 14012012
 
Aula 3 intraestrutura - 07012012
Aula 3 intraestrutura - 07012012Aula 3 intraestrutura - 07012012
Aula 3 intraestrutura - 07012012
 
Aula 2 infraestrutura - 17122011
Aula 2 infraestrutura - 17122011Aula 2 infraestrutura - 17122011
Aula 2 infraestrutura - 17122011
 
Aula 1 infraestrutura - 10122011
Aula 1 infraestrutura - 10122011Aula 1 infraestrutura - 10122011
Aula 1 infraestrutura - 10122011
 
Aula 12 infraestrutura - 24032012
Aula 12 infraestrutura - 24032012Aula 12 infraestrutura - 24032012
Aula 12 infraestrutura - 24032012
 
Sistema 5 s
Sistema 5 sSistema 5 s
Sistema 5 s
 
Compilando o kernel linux (2)
Compilando o kernel linux (2)Compilando o kernel linux (2)
Compilando o kernel linux (2)
 
Controle de congestionamento tcp
Controle de congestionamento tcpControle de congestionamento tcp
Controle de congestionamento tcp
 
Aula 8 active diretory - 29092012
Aula 8 active diretory - 29092012Aula 8 active diretory - 29092012
Aula 8 active diretory - 29092012
 
Aula 7 active diretory - 22092012
Aula 7 active diretory - 22092012Aula 7 active diretory - 22092012
Aula 7 active diretory - 22092012
 
Aula 9 active diretory - 06092012
Aula 9 active diretory - 06092012Aula 9 active diretory - 06092012
Aula 9 active diretory - 06092012
 
Aula 1 active diretory - 04082012
Aula 1 active diretory - 04082012Aula 1 active diretory - 04082012
Aula 1 active diretory - 04082012
 

Aula 8 infraestrutura - 25022012

  • 1. Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012 Autor: Thiago Inácio de Matos Contato: thiago.matos@outlook.com.br VPN PPTP 1. Criptografia de 40 bits (não utilizado pelas grandes empresas) L2TP 1. Possui dois métodos de criptografia 1. Criptografia de 128 bits (chave pré compartilhada) 2. Criptografia de 2048 bits (certificado/IPSec) SSTP 1. Criptografia de 2048 bits usa somente a porta 443 IKEV2 1. Criptografia de 2048 bits possui reconexão automática LAB Server1 Server2 Server3 Client1 Instar as funções de AD/DNS no server1, IIS no server2 e o NAT no server3
  • 2. Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012 Autor: Thiago Inácio de Matos Contato: thiago.matos@outlook.com.br PPTP +RRAS Cliente 1. Central de rede e compartilhamento 2. Conectar a um local de trabalho 3. Usar minha conexão coma Internet 4. Configurar a conexão de internet mais tarde 5. IP externo do NAT // Nome escolha livre 6. Marcar “Permitir que ouras pessoas usem esta conexão” que é requisito para AD Configurações para conexão 1. Desabilitar o NAT (passo necessário para realizar os testes com o RRAS) 2. Habilitar o Roteamento de LAN (RRAS) 1. Botão direito na guia geral 2. Habilitar a opção de servidor de acesso remoto IPv4 3. No AD dar permissão ao usuário que fará o acesso remoto 1. IR ao Usuário e grupos locais 2. Propriedades do usuário que utilizará a VPN 3. Permissão de acesso à rede – Permitir acesso 3. No servidor de RRAS 4. Botão direito em portas 5. Seleciona PPTP – configurar 6. Habilitar conexões de acesso remoto (somente de entrada) Para que seja possível a navegação dentro da rede existem duas formas uma é por meio de DHCP e outra é através de configuração de range IP no servidor do RRAS 1. Propriedades de roteamento e acesso remoto 2. Guia IPv4 3. Pool de endereços estáticos 4. Adicionar 5. Inserir o ranges Nota: A porta que é habilitada é a 1723 Outro protocolo que é utilizado é o GRE PPTP +NAT Configurações normais do NAT Na placa de saída configurar a opção Gateway VPN (PPTP) e em endereço particular inserir o endereço de loopback L2TP+chave 1. Central de rede e compartilhamento 2. Conectar a um local de trabalho
  • 3. Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012 Autor: Thiago Inácio de Matos Contato: thiago.matos@outlook.com.br 3. Usar minha conexão coma Internet 4. Configurar a conexão de internet mais tarde 5. IP externo do NAT // Nome escolha livre 6. Marcar “Permitir que ouras pessoas usem esta conexão” que é requisito para AD 7. No discador configurado 1. Na guia segurança escolher o Tipo de VPN como L2PT 2. Em configurações avançadas – inserir uma chave pré compartilhada 8. No servidor de VPN 1. Propriedades de roteamento e acesso remoto 2. Guia segurança 3. Marcar a caixa permitir diretiva IPSec personalizada para conexão L2PT 4. Inserir a chave pré compartilhada L2PT+IPSec Para a atender as necessidades é necessário instalar um AD CS no DC Gerenciador de servidores Adicionar função Serviço de Certificado do Active Directory Autoridade de certificação Registro na Web de Autoridade de Certificação Fazer com que os computadores confiem na CA (gpupdate /force nos equipamentos da rede) É necessário criar um novo certificado Modelos de certificado No lado direito da tela > Botão direito > gerenciar (abre o console de modelo de certificado) > IPSec (solicitação off-line) > Botão direito Modelo Duplicado para gerar uma cópia do certificado > Windows server 2003 enterprise por questões de segurança e você manter o original. No novo certificado > Guia tratamento de solicitação > marcar “permitir que a chave privada seja exportada” > No novo certificado > Guia segurança > adicionar o usuário todos > dar controle total Para que seja possível a visualização do novo modelo de cerificado é necessário seguir o seguinte passo. Modelo de certificado > no lado direto, clicar com o botão direito > novo > modelo de certificado a ser emitido > escolher o certificado e clicar em OK Solicitando o certificado Configuração do MMC Adicionar certificados > conta de computador (local) e minha conta de usuário Solicitar o certificado pelo site de certificado > http://192.168.x.x/certsrv > solicitar certificado >
  • 4. Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012 Autor: Thiago Inácio de Matos Contato: thiago.matos@outlook.com.br solicitação avançada > criar e enviar uma solicitação para a CA Na página de certificado preencher da seguinte forma: Modelo de certificado – Escolher o certificado de IPSec configurado anterior mente: Informações de identificação para modelo off-line - Nome: nome FQDN do equipamento Avançar e instalar o certificado Com esse procedimento temos um certificado de usuário, para termos ele como um certificado de computador é necessário exportar o certificado criado. Botão direto no certificado > todas as tarefas > exportar > Exportar a chave privada Em certificados de comutador > pessoal > botão direito na área da direita > todas as tarefas > importar. Para o computador que não está no domínio confiar na Ca O primeiro passo é criar uma regra no NAT para que seja possível acessar o site da CA Para configura na CA é necessário: Fazer o download de um certificado de autoridade de certificação, cadeia de certificados ou lista de certificados revogados > fazer download de certificado da autoridade de certificação > importar o certificado baixado através do MMC de certificados > adicionar certificados de usuário e computador local > importar para autoridade certificação de raiz confiáveis O FQDN a ser utilizado vai ser apenas o nome do computador, já que ele não está no domínio DNSSec É um padrão internacional que estende a tecnologia DNS. O que DNSSec adiciona é um sistema de resolução de nomes mais severo, reduzindo risco de manipulação de dados e informações. O mecanismo utilizado pelo DNSSec é baseado na tecnologia de criptografia de chaves públicas. DNSSec fornece autenticidade e integridade das respostas DNS. DNS soluciona problemas encontrados na atual tecnologia DNS. No protocolo DNS, um ataque onde a informação é corrompida é extremamente difícil de ser detectado, e praticamente impossível de ser prevenido. O objetivo da extensão DNSSec é assegurar o conteúdo do DNS e impedir estes ataques validando os dados e garantindo a origem das informações Instalar a função de DNS Criar uma zona primaria com o nome domx.local Primeiro passo é realizar um backup da zona atual com o comando abaixo Dnscmd serverx /zoneexport domx.local bkpdns
  • 5. Windows Server 2008 Network Infrastructure, Configuring - Aula 8- 25/02/2012 Autor: Thiago Inácio de Matos Contato: thiago.matos@outlook.com.br O arquivo de backup fica em %system32%dnsnome-do-arquivo Gerar a chave pública do dns KSK (Key Signing Keys) Dnscmd /offlinesign /genkey /alg rsash1 /flags ksk /length 2048 /zone domx.local /sscert /friendlyname ksk.dom11.local Para atrelar a zona dns ZSK (Zone Signing Keys) Dnscmd /offlinesign /genkey /alg rsash1 /length 2048 /zone domx.local /sscert /friendlyname zsk.dom11.local Assinar a zona Dnscmd /offlinesign /signzone /input c:windowssystem32nome_do_backup /output “caminho_desejado” /zone domx.local /signkey /validto (data usando o seguinte formato [AAAAMMDDHHMMSS]) validfrom (data usando o seguinte formato [AAAAMMDDHHMMSS]) /friendlyname “nome_amigável_do_certificado” É necessário deletar a zona Adicionar zona assinada: Dnscmd serverx /zoneadd dom6.local /dsprimary /file “arquivo_criado_durante_a_assinatura_da_zona” /load Em modo gráfico No console de dns Adicionar uma nova zona primária > de o mesmo nome da chave anterior > usar este arquivo existente Clique com botão direito no serverx > propriedades > guia âncora de confiança > adicionar > nome = domx.local; marcar a checkbox ponto de entrada seguro; em chave pública copiar a primeira linha do arquivo keyset referente ao seu domínio e ok