Prostřednictvím služby Vzdálený přístup a směrování (RRAS – Routing and Remote Access Service) , má uživatel vzdálený přístup do sítě,
kde má k dispozici běžně dostupné služby, jako při práci v uzavřené privátní síti (sdílené soubory, sdílené tiskárny a další).
Virtuální sítě umožňující propojení zařízení (servery, počítače, telefony apod.), nebo celých sítí skrze počítačovou síť – nejčastěji skrze veřejný Internet. Toho je dosaženo za pomoci speciálních protokolů založených na rodině protokolů TCP/IP nazývaných tunelovací protokoly, nebo za pomoci správně nastaveného hardwaru resp. směrovačů (routerů).
Tunelovací protokol virtuálně volá virtuální port na serveru VPN. Při typickém nasazení sítě VPN iniciuje klient přes Internet virtuální propojení mezi dvěma body k serveru vzdáleného přístupu. Server vzdáleného přístupu přijme volání, ověří volajícího a přenese data mezi klientem VPN a privátní sítí organizace.
VPN server
pomocí VPN serveru, který zajišťuje veškeré dotazy týkající se VPN připojení a obstarání tunelu
VPN router
Drouhou možností je koupit si speciální router (běžně zvaný VPN router) s vestavěným VPN serverem. K modelům této kategorie patří ZyXel ZyWall 802.11n Wireless Internet Security Gigabit Firewall (USG20W), Cisco Wireless Network Security Firewall Router (RV220W) nebo Netgear ProSecure UTM Firewall with Wireless N (UTM9S)
VPN server - SW externího vývojáře
Jestliže byste rádi vytvořili VPN připojení spojující více počítačů, mezi nimiž chcete sdílet zdroje, aniž byste museli konfigurovat router nebo obětovat jeden počítač a udělat z něj VPN server, stojí za zvážení VPN software externích vývojářů. Comodo Unite, Gbridge a TeamViewer jsou slušné, spolehlivé a bezplatné alternativy.
Externí VPN poskytovatel
Jestliže pouze chcete VPN přístup, který by zakryl váš internetový provoz tehdy, když používáte veřejný Wi-Fi hotspot nebo jinou nedůvěryhodnou síť, či chcete mít přístup k regionálně blokovaným stránkám, je nejjednodušším řešením poskytovatel hostované VPN. K nejoblíbenějším patří Hotspot Shield, který nabízí jak bezplatné, tak i placené VPN služby pro Windows, Mac, iOS a Android. Podobnými službami jsou HotSpotVPN, StrongVPN, a WiTopia.
pozn.:
Klienti třetích stran pro VPN přístup
Shrew Soft VPN klient nebo Cisco VPN client (problémy u W10)
Zapouzdření
Ověřování
Šifrování dat
Point-to-Point Tunneling Protocol je vyvinutý konsorciem založeným Microsoftem, vytváří virtuální privátní sítě v sítích vytáčeného připojení. Je to první protokol podporovaný systémem Windows a je standardním VPN protokolem od svého vzniku.
Každé zařízení a platforma s podporou VPN je standardně vybavena PPTP a díky relativně snadné instalaci je primární volbou jak pro poskytovatele VPN, tak i pro podniky. Protokol PPTP pro přenos přes síť zapouzdřuje rámce protokolu PPP do datagramů protokolu IP a spravuje tunelová propojení pomocí připojení protokolu TCP. Jeho implementace vyžaduje nízké výpočetní náklady, což z něj dělá jeden z nejrychlejších VPN protokolů.
Jeho nevýhodou je, že ikdyž standardně používá 128bitové šifrování, obsahuje poměrně velké množství slabých míst zabezpečení. Používá metodu ověřování MS_CHAP v2, která byla představena již ve Windows 98. Jedná se o nejméně bezpečný VPN protokol.
Layer 2 Tunnel Protocol byl představen v roce 1999, vychází primárně ze dvou starších protokolů - Cisco's Layer 2 Forwarding Protocol (L2F) a Microsoft's Point-to-Point Tunneling Protocol (PPTP).
Na rozdíl od jiných VPN protokolů neposkytuje žádné soukromí nebo šifrování komunikace, která přes něj prochází. Vzhledem k tomu, je typicky implementován společně se sadou protokolů známých jako IPsec pro šifrování dat před přenosem, které poskytují uživatelům soukromí a zabezpečení.
IPsec - jedná se o zabezpečení na síťové vrstvě založené na autentizaci a šifrování každého IP datagramu.
Protokoly L2TP a IPsec musí být podporovány jak klientem sítě VPN, tak i serverem sítě VPN. Podpora protokolu L2TP je integrována v klientech vzdáleného přístupu s operačními systémy Windows Vista® a Windows XP a na serverech sítě VPN s operačními systémy řad Windows Server® 2008 a Windows Server 2003. Většina moderních VPN kompatibilních zařízení a operačních systémů již má L2TP / IPSec vestavěný.
Nastavení je relativně rychlé a snadné stejně jako PPTP, ale můžete zaznamenat problémy, protože protokol využívá UDP port 500, který je snadným cílem pro blokování NAT firewally. Z tohoto důvodu s tímto firewallem bude nutné použít port forwarding.
Neexistují žádná zásadní slabá místa spojená s šifrováním IPsec a protokol L2TP je tedy bezpečnější než PPTP. Protokol IPsec dvakrát zapouzdří data, a proto je o něco pomalejší než ostatní VPN protokoly.
SSTP Secure Socket Tunneling Protocol je relativně nový typ tunelového propojení virtuální privátní sítě (VPN). Byl uveden společností Microsoft Corporation v systému Windows Vista Service Package 1, nyní je k dispozici i pro Linux adalší systémy, avšak stále se jedná především o Microsoft technologii dostupnou na Windows.
SSTP obsahuje mechanismus pro přenos Point-to-Point přes kanál SSL (Secure Sockets Layer). Poskytuje stejnou úroveň bezpečnosti, které věříte, když se přihlašujete na internetové bankovnictví a další citlivé domény.
Protokol SSL poskytuje zabezpečení na úrovni přenosu pomocí kontroly klíčů, šifrování a kontroly integrity dat. SSL funguje přes port TCP 443. pomocí protokolu HTTPS na portu TCP 443 přenáší data přes brány firewall a webové proxy servery, které by mohly blokovat přenosy pomocí protokolů PPTP a L2TP. Pokud se klient pokusí o navázání připojení k síti VPN prostřednictvím protokolu SSTP, vytvoří protokol SSTP nejprve dvojsměrnou vrstvu protokolu HTTPS se serverem SSTP. Prostřednictvím této vrstvy protokolu HTTPS jsou pak přenášena data.
Challenge Handshake Authentication Protocol (CHAP) slouží k prokazování totožnosti při použití protokolu PPP. Klient i autentizační server sdílí stejný šifrovací klíč symetrické šifry. Autentizace v protokolu CHAP probíhá ve třech krocích.
1 - Nejprve je ustanoveno spojení mezi klientem a autentizačním serverem. Následně autentizační server odešle klientovi příkazem Challenge výzvu, obsahující náhodný řetězec.
2 - Klient vhodně spojí přijatý náhodný řetězec se sdíleným tajemstvím (šifrovací klíč) a výsledek zašifruje pomocí jednocestné funkce, známé jako hash, např. pomocí algoritmu MD5. Výsledek vloží do odpovědi (Response) a odešle autentizačnímu serveru.
3 - Autentizační server obdržel zašifrovanou zprávu od klienta. Server zašifruje původní zprávu, kterou odeslal klientovi stejným způsobem, jako to udělal klient, a porovná se zprávou, kterou získal od klienta. Pokud je výsledek shodný, tak dojde k potvrzení autentizace (Success) při neshodě k zamítnutí autentizace (Failure).
Pakety Challenge mohou být v průběhu komunikace odesílané kdykoliv v náhodných opakujících intervalech z důvodu ověření klienta (opakují se kroky 1 až 3).
Výhoda protokolu CHAP je oboustranná autentizace, tj. autentizace klienta proti serveru a autentizace serveru proti klientovi.
Remote Authentication Dial-In User Service (RADIUS) je síťový protokol, který zajišťuje centrální Autentizaci, Autorizaci, a Správu účtů (AAA nebo Triple A) management pro uživatele, kteří se se napojují a využívají síťovou službu. RADIUS byl vytvořen v Livingston Enterprises, Inc. v roce 1991 autentizační protokol a později byl zařazen do standardů Internet Engineering Task Force (IETF).
Digitální certifikát je v asymetrické kryptografii digitálně podepsaný veřejný šifrovací klíč, který vydává certifikační autorita. Uchovává se ve formátu X.509, který (kromě jiného) obsahuje informace o majiteli veřejného klíče a vydavateli certifikátu Certifikáty jsou používány pro identifikaci protistrany při vytváření zabezpečeného spojení (HTTPS, VPN atp.). Na základě principu přenosu důvěry je možné důvěřovat neznámým certifikátům, které jsou podepsány důvěryhodnou certifikační autoritou.
Obsah certifikátů - v certifikátu je zakódována celá řada informací:
Subject – identifikační údaje majitele certifikátu
Signature Algorithm – algoritmus použitý k vytvoření podpisu
Signature – digitální podpis veřejného klíče vytvořený certifikační autoritou
Issuer – identifikační údaje vydavatele certifikátu
Valid-From – datum počátku platnosti certifikátu
Valid-To – datum konce platnosti certifikátu; nejběžnější doba platnosti je jeden rok
Key-Usage – účel veřejného klíče (šifrování, ověřování podpisů nebo obojí)
Třídy certifikátů - certifikáty se rozdělují do 5 tříd které nadefinovala firma VeriSign
Class 1 – určena pro jednotlivce, pro e-mail
Class 2 – určena pro organizace, kde je vyžadováno prokázání identity
Class 3 – určena pro servery a digitální podpisy, kde je potřeba nezávislé potvrzení identity certifikační autoritou
Class 4 – určena pro on-line obchodní transakce mezi společnostmi
Class 5 – určena pro soukromé subjekty nebo vládní bezpečnost
Platnost certifikátu - Každý certifikát má omezenou platnost, kterou určuje jeho majitel a certifikační autorita. Běžné certifikáty jsou nejčastěji vydávány na jeden rok, aby byla omezena zneužitelnost certifikátu (prozrazení heslové fráze chránící privátní klíč, ztráta privátního klíče, oslabení použitého algoritmu digitálního podpisu a podobně).
Jedná se o technologii podobnou VPN, která umožňuje klientskému počítači připojení do privátní sítě ve chvíli kdy je připojen na internet - kdy je dostupný cílový server, na který se chceme připojit vzdáleně…
Na rozdíl od standardních VPN technologií, které vyžadují konfiguraci na klientském zařízení, DirectAccess je navržen tak, aby veškerá konfigurace proběhla na serveru a na klientské straně už by se mělo spojení vytvořit automaticky, jen po zadání příkazu do cmd gpupdate /force - vyvolání politiky DA (, která je nastavena na serveru DA služby).
DirectAccess byl představen ve Windows Server 2008 R2, a umožňoval tuto službu provozovat ve Windows 7 a Windows 8 „Enterprise“ edicích. DirectAccess je technologie vlastněná Microsoftem technology…- je to řízeno pomocí skupinové politiky systému - GPO (group policy object)
S příchodem OS Windows Server 2012, byl DA plně integrován do tohoto systému a nabízí uživatelské rozhraní pro konfiguraci této služby. Byla také přidána nativní podpora pro IPv6, jelikož technologie DA používá výhradně tento protokol …
DA využívá IPsec tunely mezi klienty a DA serverem.
Další konfigurace budou rozděleny pro jednotlivé protokoly ve videích
Alternativní zdroj na YouTube: https://www.youtube.com/watch?v=KDu7Qk7NZB8&t=3s
Alternativní zdroj na YouTube: https://www.youtube.com/watch?v=KtOEBL9poWw
Alternativní zdroj na YouTube: https://www.youtube.com/watch?v=htdz2MjHU4E&t=648s
pomocí CMD : netsh interface ipv6 add route 2001:db7::/48 „NazevSitovehoAdapteru“ publish=yes
pozn.: bohužel se nám nepovedlo, aby si klient načetl politiku DA ze serveru (vynuceno gpupdate /force)
Alternativní zdroj na YouTube: https://www.youtube.com/watch?v=uB3jRd9NS9E