Klik hier om Silverlight te installeren*
NederlandWijzigen|Alle Microsoft sites
Microsoft
Zeker Ondernemen 
|Contact|Mijn gegevens|Nieuwsbrieven|RSS|Zeker Ondernemen +
ZO! Zeker ondernemen. Beveiligingsadviescentrum
                                                                                  |begin  vorige    volgende  einde|
 

 
Op deze pagina:
Voordat u begint
Een IAS-server configureren
Gebruikersgroepen en beleid voor externe toegang maken

Voordat u begint

In deze handleiding wordt beschreven hoe u externe toegang kunt opzetten in een omgeving met een bepaalde set kenmerken. Als uw omgeving niet overeenkomt met de omgeving die in deze handleiding is beschreven of als u rekening moet houden met extra veiligheidsoverwegingen, zijn wellicht andere stappen vereist, of is het wellicht verstandig om uw configuratie aan te passen. De omgeving waarvoor deze handleiding is ontwikkeld heeft de volgende kenmerken:
 
  • De telefoon- en netwerkinfrastructuur is aanwezig, de adresruimte is geleased en de domeinnamen zijn geregistreerd.
     
  • Op alle externe computers en laptops wordt Windows XP Professional of Windows XP Home Edition uitgevoerd en zij kunnen een verbinding maken met internet via een internetprovider.
     
  • Het intranet bestaat uit vier servers met Windows Server 2003, Standard Edition; 75 werkstations met Windows XP Professional of Microsoft Windows 2000 Professional; een draadloos toegangspunt; een firewall en een kabel of DSL-modem (Digital Subscriber Line).
     
    • De eerste server, SVR1, is geconfigureerd met de Active Directory-directoryservice en dient als domeincontroller. De server is ook geconfigureerd als DNS-server (Domain Name System), DHCP-server (Dynamic Host Configuration Protocol) en bestands- en afdrukserver. SVR1 is geconfigureerd met het persoonlijke IP-adres 192.168.0.2.
       
    • De tweede server, SVR2, is geconfigureerd met Active Directory en dient als domeincontroller. Deze server is ook geconfigureerd als DNS-server, DHCP-server en IAS-server (Internet Authentication Service) voor het verschaffen van RADIUS-verificatie (Remote Authentication Dial-In User Service). SVR2 is geconfigureerd met het persoonlijke IP-adres 192.168.0.3.
       
    • De derde server, SVR3, is geconfigureerd als toepassingsserver. SVR3 is geconfigureerd met het persoonlijke IP-adres 192.168.0.4.
       
    • De vierde server, SVR4, is geconfigureerd met twee netwerkadapters. De eerste netwerkadapter laat gegevens toe tussen de server en het intranet, en deze adapter is geconfigureerd met het persoonlijke IP-adres 192.168.0.7. Met de tweede netwerkadapter kan verkeer tussen de server en de firewall plaatsvinden. Deze adapter is geconfigureerd met het persoonlijke IP-adres 192.168.1.2. In deze handleiding wordt beschreven hoe u SVR4 kunt configureren als een RAS-server.
       
    • Er is een firewall geïnstalleerd met twee netwerkadapters en waarmee NAT-T (Network Address Translation Traversal) mogelijk is tussen SVR4 en een kabel- of DSL-modem. De netwerkadapter die verkeer tussen de firewall en het intranet en SVR4 mogelijk maakt, is geconfigureerd met twee adressen: het persoonlijke IP-adres 192.168.1.1 voor verkeer van en naar SVR4, en het persoonlijke IP-adres 192.168.0.1 voor verkeer van en naar de rest van het intranet.
       
      De netwerkadapter die verkeer tussen de firewall en de kabelmodem toelaat, is geconfigureerd met het openbare IP-adres 206.73.118.2. De firewall is geconfigureerd om VPN-verkeer door te sturen van en naar SVR4 (de RAS-server) met de geldige filters en protocollen. De firewall is geconfigureerd met andere regels om het intranet te beschermen tegen een aanval van buitenaf. Raadpleeg Configuring Firewallsvoor meer informatie over het configureren van firewalls voor gebruik met IPSec.
       
      » Configuring Firewalls (Engelstalig)
       
    • Een kabel- of DSL-modem is geïnstalleerd zodat verkeer tussen de firewall en internet mogelijk is. Deze modem is geconfigureerd met het openbare IP-adres 206.73.118.1.
       
  • Groepsbeleid is geconfigureerd op het netwerk en de juiste groepsbeleidsinstellingen en machtigingen voor bestaande groepen zijn toegepast.
     
  • Alle essentiële hardware-updates zijn op de juiste manier toegepast op alle computers.
     
  • Alle service packs zijn op de juiste manier toegepast op alle computers, behalve op de computers met Windows XP, waarop alleen Service Pack 1 is toegepast. Indien Service Pack 1 niet op een bepaalde computer is geïnstalleerd of als u niet zeker weet of dit is geïnstalleerd, kunt u naar de website Windows Update van Microsoft gaan en uw computer laten onderzoeken om te bepalen welke updates voor u beschikbaar zijn. Als Service Pack 1 als beschikbare update wordt weergegeven, moet u deze installeren voordat u de procedures volgt die in dit document worden beschreven.
     
    »  Microsoft Windows Update (Engelstalig)
     
  • Voor alle computers met Windows XP is Firewall voor Internet-verbindingen ingeschakeld en juist geconfigureerd.
       
  • Geautoriseerd it-personeel heeft de voorgestelde taken goedgekeurd als zijnde conform de interne it-richtlijnen en procedures, en de juridische afdeling heeft deze richtlijnen en procedures erkend als zijnde conform de geldende wetgeving en reguleringen.
      
In het volgende schema wordt de omgeving weergegeven waarop deze handleiding is gebaseerd. In de deze handleiding wordt soms verwezen naar dit voorbeeldschema om stappen te verduidelijken.
 
Voorbeeldomgeving voor het beveiligen van externe toegang
 
Schema: voorbeeldomgeving voor het beveiligen van externe toegang

Een IAS-server configureren

Als u draadloze toegang wilt geven aan apparaten zoals laptops en PDA's, kunt u het beheer vereenvoudigen door een IAS-server (Internet Authentication Service) toe te voegen aan uw intranet. Door het toevoegen van een IAS-server, voegt u centrale verificatie van verbindingsaanvragen, alsmede validatie en controle toe aan uw netwerk. De IAS-server stelt u in staat één server te gebruiken voor het controleren van verbindingspogingen, nakijken van logboeken en beheren van beleid.
 
Hoewel de configuratie en het onderhoud van draadloze apparaten en IAS-servers verder gaat dan waar deze handleiding voor is bedoeld, komen er toch een aantal basisconfiguratiestappen voor de externe toegang van IAS-beheer aan de orde.
 
Internet Authentication Service (IAS) installeren en configureren
  1. Klik op Start, klik op Configuratiescherm, dubbelklik op Software en klik op Windows-onderdelen toevoegen of verwijderen.
     
  2. Klik op Netwerkservices en klik op Details.
     
  3. Schakel het selectievakje Internet Authentication Service in en voltooi de wizard.
     
  4. Klik op Start, klik op Configuratiescherm, dubbelklik op Systeembeheer en dubbelklik op Internet Authentication Service.
     
  5. Klik met de rechtermuisknop op Internet Authentication Service en klik vervolgens op Server in Active Directory registreren. Klik op OK wanneer het dialoogvenster Internet Authentication Server in Active Directory registreren wordt weergegeven. Klik op OK wanneer het dialoogvenster Geregistreerde server wordt weergegeven.
     
  6. Klik in de consolestructuur met de rechtermuisknop op RADIUS-clients en klik vervolgens op Nieuwe RADIUS-client.
     
  7. Typ op de pagina Naam en adres van de wizard Nieuwe RADIUS-client de naam van de RAS-server bij Beschrijvende naam, het IP-adres van de RAS-server bij Adres van de client (IP of DNS) en klik vervolgens op Volgende.
     
  8. Typ op de pagina Aanvullende gegevens hetzelfde gedeelde geheim voor de RAS-server bij zowel Gedeeld geheim als bij Bevestig het gedeelde geheim.
     
  9. Klik op Voltooien
 
Tip: U hebt het gedeelde geheim opnieuw nodig bij het configureren van de RAS-server. Zorg ervoor dat u het gedeelde geheim voor de RAS-server noteert en op een veilige plaats bewaart.
 

Gebruikersgroepen en beleid voor externe toegang maken

Een van de problemen die u als beheerder kunt tegenkomen tijdens het plannen van een oplossing voor externe toegang, is dat u bijna geen controle hebt over de computers waarmee uw gebruikers een verbinding maken. U kunt met behulp van Active Directory beheren welke gebruikers vanaf een externe locatie een verbinding mogen maken met uw intranet en welk netwerkprotocol (of -protocollen) ze moeten gebruiken.
 
Door het aantal gebruikers die een verbinding mogen maken met uw intranet te beperken, vermindert u het gevaar dat een aanvaller toegang kan krijgen tot uw netwerk door zich voor te doen als een andere gebruiker. Door verbindingen te beperken tot één tunneling-protocol, vermindert u het aantal mogelijkheden waarmee een aanvaller toegang kan krijgen tot uw netwerk, waarmee tevens de kans afneemt dat een onbevoegd persoon uw externe communicatie kan lezen.
 
De veiligste en meest gebruikte methode voor externe verbindingen is het gebruik van L2TP/IPSec. L2TP is de industriestandaard voor tunneling-protocollen voor internet. IPSec is een pakket van op cryptografie gebaseerde beveiligingsservices en -protocollen. IPSec biedt verificatie op computerniveau alsmede gegevenscodering voor VPN-verbindingen die het L2TP-protocol gebruiken. IPSec beveiligt zowel wachtwoorden als gegevens door te onderhandelen met een externe toegang en de RAS-server voordat een L2TP-verbinding tot stand komt.
 
Door een groep te maken in Active Directory en een beleid te configureren in IAS, kunt u alleen de gebruikers in de groep toestaan een verbinding te maken en andere gebruikers een verbinding laten maken met behulp van L2TP/IPsec.
 
Vereisten
Als u de volgende taken wilt uitvoeren, moet u:
 
  • Zijn aangemeld als lid van de groep Domeinadministrators.
  • Over een lijst beschikken van alle gebruikers die u externe toegang wilt verlenen.
     
  • Een groep voor VPN-verbindingen maken
    1. Klik op een domeincontroller op Start, klik op Configuratiescherm, dubbelklik op Systeembeheer en dubbelklik vervolgens op Active Directory: gebruikers en computers.
       
    2. Klik in de consolestructuur onder uw domein met de rechtermuisknop op Gebruikers, wijs Nieuw aan en klik vervolgens op Groep.
       
    3. Typ VPN-gebruikers bij Groepsnaam in het dialoogvenster Nieuw object - Groep en klik vervolgens op OK.
       
    4. Dubbelklik op VPN-gebruikers in het detailvenster.
       
    5. Klik op het tabblad Leden in het dialoogvenster Eigenschappen van VPN-gebruikers en klik vervolgens op Toevoegen.
       
    6. Voeg in het dialoogvenster Gebruikers, contactpersonen, computers of groepen bij Geef de objectnamen op de gebruikers of groepen toe die u machtigingen voor externe toegang wilt geven. Klik vervolgens op OK.
       
    7. Klik op OK om de wijzigingen in de groep VPN-gebruikers op te slaan.
       
      Opmerking: In deze handleiding wordt er vanuit gegaan dat uw Active Directory-domein een functioneel domein met Windows Server 2003 is. Als het functioneel niveau van uw Active Directory-domein niet Windows Server 2003 is, moet u wellicht de machtigingen voor externe toegang voor alle accounts in de groep VPN-gebruikers handmatig inschakelen.
        
Maak vervolgens een beleid voor externe toegang, zodat alleen leden van de groep VPN-gebruikers VPN-verbindingen met uw intranet kunnen maken.
 
  • Een beleid voor externe toegang voor VPN-verbindingen maken
    1. Klik op uw IAS-server (SVR2 in het schema) op Start, klik op Configuratiescherm, dubbelklik op Systeembeheer en dubbelklik vervolgens op Internet Authentication Service.
       
    2. Klik in de consolestructuur met de rechtermuisknop op RAS-beleid en klik vervolgens op Nieuw RAS-beleid.
       
    3. Klik op Volgende op de pagina De wizard Nieuw RAS-beleid.
       
    4. Typ L2TP VPN-toegang in het vak Beleidsnaam van de pagina Beleidsconfiguratiemethode en klik op Volgende.
       
    5. Klik op VPN in de pagina Toegangsmethode en klik vervolgens op Volgende.
       
    6. Klik op Groep in de pagina Toegang voor gebruiker of groep en klik vervolgens op Toevoegen.
       
    7. Typ VPN-gebruikers in het vak Geef de objectnamen op van het dialoogvenster Groepen selecteren. Geef de locatie op als domein van uw bedrijf en klik op OK. De groep VPN-gebruikers wordt toegevoegd aan de lijst van groepen op de pagina Toegang voor gebruiker of groep. Klik op Volgende.
       
    8. Op de pagina Verificatiemethoden wordt standaard het verificatieprotocol MS-CHAP v2 geselecteerd. Klik op Volgende.
       
    9. Schakel de selectievakjes Standaardcodering en Sterke codering op de pagina Beleidscoderingsniveau uit en klik op Volgende.
       
    10. Klik op Voltooien op de pagina Wizard Nieuw RAS-beleid
       
      Tip: Als u over een ander RAS-beleid beschikt, moet u ervoor zorgen dat dit nieuwe RAS-beleid in de juiste volgorde is geplaatst voor een juiste implementatie.
 
Nu moet u opgeven dat gebruikers een verbinding moeten maken met behulp van L2TP.
 
  • Het tunneling-protocol voor het RAS-beleid opgeven
    1. Dubbelklik in het detailvenster van IAS (Internet Authentication Service) op RAS-beleid, klik met de rechtermuisknop op het beleid L2TP VPN-toegang en klik op Eigenschappen.
       
    2. Klik op Toevoegen in het dialoogvenster voor eigenschappen voor L2TP VPN-toegang.
       
    3. Klik op de optie voor tunneltype in het dialoogvenster Kenmerk selecteren en klik vervolgens op Toevoegen.
       
    4. Klik op Layer 2 Tunneling Protocol in het dialoogvenster voor tunneltype, klik op Toevoegen en klik vervolgens twee keer op OK.  
 
Nieuwe instellingen controleren
Als u de instellingen die u zojuist hebt geconfigureerd wilt controleren, opent u de module Active Directory: gebruikers en computers en bevestigt u dat de groep VPN-gebruikers bestaat en dat deze alle gebruikers bevat waaraan u externe toegang wilt verlenen. Open IAS en bevestig dat het beleid L2TP VPN-toegang wordt weergegeven en dat de eigenschappen correct zijn geconfigureerd.
 
top                                                                               |begin  vorige    volgende  einde|
 
Test je kennis
Vind een IT specialist.
Kies uw provincie.
Uitgebreid zoeken
Vind een Microsoft-gekwalificeerde small business-technologiespecialist in uw omgeving.

Abonneer u op de nieuwsbrief
Downloads
Downloads
Gratis: meer dan 25 praktische downloads voor ondernemers

©2008 Microsoft Corporation. Alle rechten voorbehouden. Contact opnemen |Gebruiksvoorwaarden |Handelsmerken |Privacyverklaring