Protokoll Nr. 11

Abteilung Höhere Technische Bundeslehranstalt

Fischergasse 30 A-4600 Wels IT

Protokoll

Übungs Nr.: 11 Titel der Übung: VPN

Katalog Nr.: 3 Verfasser: Christian Bartl Jahrgang: 4 AIT

An dieser Übung haben mitgearbeitet:

Thomas Fischl Gruppe: B

Datum der Übung: 06.04.2006

Abgabe Datum: 20.04.2006

Übungsleiter: Prof. Sander

Übungsmaterial:

Wechselfestplatte (B-19) Schulrechner Windows Server 2003 Enterprise Edition Installations-CD’s

Beurteilung:

NWSY Übung Nr.: 11 Seite 1

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

VPN-Server

Aufgabenstellung VPN Server 1. Introduction Setting up VPN is very straightforward on Windows 2000 since there is a wizard that does most of it for you. In addition, you need to grant users who need to use VPN permission to dial in to the server. Be aware also that when a client makes a VPN connection to a server, all (or almost all) TCP/IP traffic to and from that client will be routed through the server for the duration of the VPN connection. This may have an impact upon the performance of the server, depending on the number of VPN connections and the way in which they are used. 2. Security Security concerns remain with the one of the encrypted authentication protocols that is enabled by default, , namely MS-CHAP [Ref 1]. Microsoft’s answer to these concerns, namely MS-CHAP v2, addresses many of the original weaknesses, is considerably more secure [Ref 2] and is inbuilt in Windows 2000. However, there are still security concerns with MS-CHAP v2, so if you need to ensure high security, you may prefer not to use VPN (or at least the Microsoft implementation of VPN.) If you do set up VPN, I would highly recommend enforcing the use of MS-CHAP v2 (Microsoft also recommend using it). It is still possible to use Windows 95, 98, Me, NT and 2000 to make a VPN connection to a server with MS-CHAP v2 enforced, so using MS-CHAP v2 should increase security without limiting access. 3. Requirements Decide on the maximum number of simultaneous connections you will allow and reserve a range of IP addresses within your subnet to accommodate them. You will need one more IP address than the maximum number (this is allocated to the server for its VPN interface). You can use several separate ranges if required and the addresses should be registered in the DNS in the usual way. It is also possible to use DHCP to allocate addresses, but this has not been tested. You must ensure that the WINS and DNS configuration on the server where you are setting up VPN is correct before you start. This is because when a user makes a VPN connection to your server, the VPN client PC will obtain and use WINS and DNS server details from the VPN server. In the case of WINS, the client will also register its NetBIOS name in the WINS database. If you are using the OUCS WINS servers, you must advise users to use computer names that are guaranteed unique (generally by incorporating part of your unit name in the computer name); renaming their computer if necessary. For more information see the Central Windows Internet Name Service (WINS) pages. While not essential, it is a good idea to give your VPN server an alias in the DNS such as vpn.unitname.ox.ac.uk, which will allow you to move it without affecting client configuration. If you have your own college or departmental firewall, you need to allow TCP port 1723 and IP protocol ID 47 (GRE) traffic to and from your VPN server. Lastly, don’t neglect the security of your 2000 server, particularly password security. 4. Installing and Configuring Routing and Remote Access This has been tested on a Windows 2000 Active Directory domain controller and on a Windows 2000 member server that is part of an Active Directory domain. In both cases, Active Directory domain user accounts and passwords were used to make the VPN connection.

NWSY Übung Nr.: 11 Seite 2

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

If the Windows 2000 Configure Your Server screen is open, click on Networking, then on Remote Access and finally on Open Routing and Remote Access. Alternatively, you can start it from Start -> Programs -> Administrative Tools -> Routing and Remote Access. Select your server in the left-hand window (you may need to expand Routing and Remote Access to see it) and select Configure and Enable routing and Remote Access from the Action menu. The Routing and Remote Access Server Setup Wizard will start. Click on Next and then choose Virutual private network (VPN) server and click on Next. In the Remote Client Protocols dialogue box, the only protocol that is required is TCP/IP. Click on Next. In the Internet Connection dialogue box, accept the default (with <No internet connection> selected) and click on Next. In the IP Address Assignment box, decide whether you are going to use DHCP or a specified range of addresses for VPN clients and then click on Next. If you opted to specify a range of addresses, click on New and add in an address range that will be used for VPN clients. You can add several address ranges as required. When you have finished, click on Next. If you opted to use DHCP and your server has a static IP address, you may see a warning; click on OK. On the Managing Multiple Remote Access Servers page, accept the default No, I don't want to set up this server to use RADIUS now and click on Next. Click on Finish. If you opted to use DHCP you may see a message about configuring DHCP relaying. This has not been tested so you are on your own here. The Routing and Remote Access Service will now be started. In the Routing and Remote Access management console, make sure that your server is still selected and select Properties from Action menu. Click on the Security tab and then on the Authentication Methods button. Disable Microsoft encrypted authentication (MS-CHAP). This should leave only Microsoft encrypted authentication version 2 (MS-CHAP v2) enabled. Click on OK. If you had protocols such as IPX or NetBEUI installed on your server when you set up Routing and Remote Access, you will have a tab for each protocol. You should disable these protocols — in general you only need to allow IP access. For example, to disable IPX, click on the IPX tab, and turn off the Allow IPX-based remote access and demand-dial connections option. If you need to change IP address information; for example, the range of IP addresses available, or to switch to using DHCP, this is done via the IP tab. Information can also be logged to the event log; use the Event Logging tab to control the amount of information that gets logged. When you have finished, click on OK. Look in the right-hand window. There are several other items that may be useful Firstly, you can enable Remote Access Logging. Open up the Remote Access Logging folder and then double-click on the Local File to change settings. You can view connected clients (Remote Access Clients) and you can set up Remote Access Policies. Check in the right-hand window under your server name for the Ports entry. If you select it and choose Properties from the Action menu you can configure the number of ports (i.e. VPN connections) that are available. According to Microsoft, the default is 5; however in my experience you get 128 L2TP ports and 128 PPTP ports! Currently there is limited support for L2TP (most clients will use PPTP) so you could probably drop this number to 0. Adjust the number of PPTP ports as required. You can probably turn off the Demand-dial routing connections option as well. 5. Configuring User Accounts Before a user can make a VPN connection to your server, there is one further change that you need to make, namely granting the user account(s) permission to dial in. Use the Active Directory Users and Computers management console; view the properties of the user account and click on the Dial-in tab. You can then Allow Access under Remote Access Permission (Dial-in or VPN).

NWSY Übung Nr.: 11 Seite 3

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

6. Testing You can test a VPN connection using a PC connected to the Oxford University ethernet. Obviously this does not test the connection from an external network, but it will test whether your server is configured correctly. 7. References Schneier and Mudge, Cryptoanalysis of Microsoft’s Point-to-Point Tunneling Protocol Schneier, Mudge and Wagner (1999), Cryptoanalysis of Microsoft’s PPTP Authentication Extensions (MS-CHAPv2)

NWSY Übung Nr.: 11 Seite 4

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

Durchführung

Einrichten des Servers 1. Um die VPN-Funktion des Windows 2003 Servers zu nutzen muss der Routing- und RAS-

Serverdienst installiert sein. Um die VPN-Funktion nun einzurichten müssen Sie den Setup-Assistenten starten. Dies tun Sie in dem Sie den Serverdienst beenden und wieder starten. Wählen Sie hier den ersten Punkt „RAS (DFÜ oder VPN) aus.

2. Im nächsten Schritt wird erfragt ob sie einen VPN- und/oder DFÜ-Server erstellen möchten. Wählen Sie bitte nur VPN.

NWSY Übung Nr.: 11 Seite 5

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

3. Im folgenden Schritt wählen Sie die externe Schnittstelle, also jene die im Normalfall die Verbindung zum Internet herstellt bzw. jene über der sich später die VPN-Clients verbinden werden, aus.

4. Da auf dem Server bereits ein DHCP-Server installiert ist können Sie nun bei der IP-Adresszuweisung Automatisch auswählen. Ansonsten besteht hier die Möglichkeit einen Adresspool für die VPN-Clients zu definieren.

5. Da wir keinen Radius-Server für die Authentifizierung unserer Clients verwenden möchten sondern den Routing- und RAS-Server selbst, wählen wir hier die erste Option aus.

NWSY Übung Nr.: 11 Seite 6

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

6. Zum Schluss können Sie die Konfigurationen in der Zusammenfassung noch einmal kontrollieren und per Fertigstellen den Assistenten beenden.

7. Als nächstes müssen die Authentifizierungsmethoden konfiguriert werden. Dazu gehen wählen sie im linken Baum den eigenen Server aus und im Kontextmenü Eigenschaften. Gehen Sie in den Tab Sicherheit und Klicken Sie auf Authentifizierungsmethoden.

NWSY Übung Nr.: 11 Seite 7

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

Hier wählen Sie MS-CHAP ab, da aus Sicherheitsgründen nur das neuere MS-CHAP2 zum Einsatz kommen soll.

8. Nun müssen noch die zu verwendenden Ports definiert werden. Gehen Sie dazu im linken Baum auf den Menüpunkt Ports. Die L2TP-Ports werden nicht benötigt, setzen Sie deren Anzahl daher auf 0. Die PPTP-Ports setzen Sie auf die Anzahl der gleichzeitig benötigten VPN-Verbindung. Dies Währe in unserem Fall dann 1er, um der Wirklichkeit aber näher zu kommen haben wir die Anzahl 10 gewählt.

NWSY Übung Nr.: 11 Seite 8

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

9. Zum Schluss müssen Sie den einzelnen Usern denen Sie gestatten möchten eine VPN-Verbindung zum Server herzustellen noch die entsprechenden Rechte einräumen. Alle User die sich einwählen können sollen müssen im Active Directory vorhanden sein. Gehen Sie dazu unter Eigenschaften des Users in der „Active Directory Benutzer und Computer-Verwaltung“ und wählen dort das Tab „Einwählen“ aus. Setzen sie die RAS-Berechtigungen auf „Zugriff gestatten“.

10. Der Server ist bereit VPN-Verbindungen zu bedienen.

NWSY Übung Nr.: 11 Seite 9

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

Einrichten der Client-Verbindung 1. Dazu muss sich der Client im selben Netzwerk wie der externe Bereich des Servers

befinden. In den meisten Fällen das Internet. In unserem Versuchsaufbau ist dies das Netzwerk 192.168.10.0 / 255.255.255.0.

2. Nun Richten wir die VPN-Verbindung ein. Dazu gehen sie bitte unter Systemsteuerung unter Netzwerkverbindungen. Wählen Sie im linken Bereich Netzwerkaufgaben den Punkt „Neue Verbindung erstellen“ aus. Es startet ein Assistent.

3. Als Netzwerkverbindungstyp wählen Sie bitte „ Verbindung mit dem Netzwerk am Arbeitsplatz herstellen“.

NWSY Übung Nr.: 11 Seite 10

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

4. Da wir eine VPN-Verbindung erstellen wollen, wählen Sie im folgenden Schritt bitte VPN-Verbindung aus.

5. Als nächstes vergeben Sie einen Namen für die neue Verbindung. Dieser kann beliebig sein, sollte aber möglichst die Verbindung beschreiben. In unserem Fall haben wir den Namen „Test“ gewählt.

NWSY Übung Nr.: 11 Seite 11

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

6. Im nun folgenden Schritt muss die IP-Adresse des VPN-Servers angegeben werden. In unserem Fall 192.168.10.254.

7. Nun muss noch festgelegt werden ob die Verbindung für alle Benutzer oder nur für den aktuell angemeldeten Benutzer erstellt werden soll.

NWSY Übung Nr.: 11 Seite 12

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

8. Der letzte Schritt beendet den Assistenten. Hier kann auch noch festgelegt werden ob eine Verknüpfung auf den Desktop erstellt werden soll.

9. Nun öffnen Sie durch Klick auf die erstellte Verknüpfung den Verbindungs-Dialog. Tragen Sie nun den Benutzernamen und das dazugehörige Kennwort für den Benutzer dem Sie zuerst am Server das Recht für eine VPN-Verbindung eingeräumt haben ein. Klicken Sie auf Verbinden um eine Verbindung zum Server herzustellen.

NWSY Übung Nr.: 11 Seite 13

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

10. Wurde die Verbindung erfolgreich hergestellt erscheint im Infobereich ein Popup mit der Mitteilung, dass die Verbindung erfolgreich erstellt wurde.