intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Giới thiệu bổ sung về Network Access Protection

Chia sẻ: Fgjỉ Guygh | Ngày: | Loại File: PDF | Số trang:52

119
lượt xem
24
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Có thể các bạn đã đọc được rất nhiều tài liệu hoặc bài viết về Network Access Protection (NAP). Đó là một tính năng được thiết kế trong Windows Server 2008 (trước đây có tên mã là Longhorn Server) và đã có một số bài viết về NAP xuất hiện ngay từ khi Windows Server 2008 chưa được phát hành. Còn giờ đây Windows Server 2008 đã được phát hành rộng rãi đến các nhà sản xuất, do vậy tác giả viết bài này muốn nhìn nhận lại toàn bộ các loạt bài mà ông đã viết về NAP. Mặc...

Chủ đề:
Lưu

Nội dung Text: Giới thiệu bổ sung về Network Access Protection

  1. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu bổ sung về Network Access Protection phần 1 Brien M. Posey Quản trị mạng - Có thể các bạn đã đọc được rất nhiều tài liệu hoặc bài viết về Network Access Protection (NAP). Đó là một tính năng được thiết kế trong Windows Server 2008 (trước đây có tên mã là Longhorn Server) và đã có một số bài viết về NAP xuất hiện ngay từ khi Windows Server 2008 chưa được phát hành. Còn giờ đây Windows Server 2008 đã được phát hành rộng rãi đến các nhà sản xuất, do vậy tác giả viết bài này muốn nhìn nhận lại toàn bộ các loạt bài mà ông đã viết về NAP. Mặc dù hầu hết các khái niệm đã được giới thiệu trong bài viết vẫn hợp lệ nhưng có một số bước có liên quan tới quá trình thực thi đã có những sự thay đổi đáng kể. Mục tiêu của việc chúng tôi giới thiệu bài này cũng là ý định update những loạt bài viết về NAP trước đây của tác giả. Trong phần đầu tiên của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về NAP và giải thích về cách làm việc của nó. Từ đây, chúng tôi sẽ hướng dẫn từng bước cho bạn trong toàn bộ quá trình thực thi. Network Access Protection là gì? Network Access Protection hoặc NAP như tên vắn tắt vẫn được gọi của nó, được tạo ra để giải quyết một số nhược điểm gây thất vọng mà các quản trị viên mạng thường gặp phải. Như một quản trị viên mạng, chúng tôi bảo đảm rằng bạn có thể tốn rất nhiều thời gian và sự cố gắng của mình vào việc làm sao cho mạng của mình được an toàn. Tuy nhiên vấn đề mắc phải ở đây là một số máy tính trong mạng lại nằm bên ngoài sự kiểm soát trực tiếp của bạn và có nhiều khó khăn hay đôi khi không thể bảo đảm sự an toàn. Ở đây chúng tôi đang nói về những người dùng từ xa. Quả thực sẽ hoàn toàn rất dễ dàng đối với việc bảo vệ an toàn cho các máy trạm cư trú ở một trong hai dạng trên, bạn chỉ có thể tránh được việc bảo mật cho các máy laptop của người dùng miễn là các laptop này là tài sản của công ty. Mặc dù vậy trong nhiều tổ chức, người dùng lại thích đăng nhập từ máy tính gia đình của họ bằng một kết nối VPN để họ có thể làm một số việc sau giờ làm việc mà không cần phải đến văn phòng. Do công ty không sở hữu các máy tính này nên các nhân viên quản
  2. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com trị không có quyền điều khiển trực tiếp trên các máy tính này. Trước khi có Network Access Protection, các tổ chức luôn phải chiến đấu để làm sao cho các máy tính ngoài sự kiểm soát trực tiếp của các nhân viên quản trị kết nối vào mạng. Lý do của điều này là một họ có thể gặp phải một số máy tính gia đình thực sự “scary”. Rất khó để có thể tìm ra các máy tính gia đình đã bị tiêm nhiễm virus và spyware hoặc vẫn đang sử dụng các hệ điều hành không được update một cách kịp thời. Và ngày càng có nhiều người hỏi về các vấn đề mà họ gặp phải với Windows 98. Network Access Protection được thiết kế để khắc phục các vấn đề trên. Khi một người dùng nào đó kết nối vào mạng, máy tính của người dùng có thể được mang ra so sánh với một chính sách “sức khỏe” mà bạn đã thiết lập Các nội dung bên trong của chính sách này sẽ khác nhau tùy theo mỗi tổ chức, bạn có thể yêu cầu hệ điều hành của người dùng phải có đầy đủ các bản vá bảo mật mới nhất và máy tính phải đang chạy phần mềm chông virus được cập nhật một cách kịp thời,…và nhiều vấn đề tương tự như vậy. Nếu một máy tính có hội tụ đủ các tiêu chuẩn cần thiết mà bạn đã thiết lập trong chính sách thì máy tính này hoàn toàn có thể kết nối vào mạng theo cách thông thường. Nếu máy tính này không hội tụ đủ các yếu tố cần thiết thì bạn có thể chọn để từ chối sự truy cập mạng cho người dùng, sửa vấn đề lập tức hoặc tiếp tục và cho người dùng sự truy cập nhưng lưu ý về trạng thái của máy tính của người dùng. Một số thuật ngữ Trước khi chúng tôi có thể bắt đầu giới thiệu về cách làm việc của NAP, bạn cần phải biết được một số thuật ngữ mà Microsoft sử dụng cho NAP. Thuật ngữ đầu tiên mà bạn cần biết là Enforcement Client, đôi khi được viết tắt là EC. Một Enforcement Client là một máy khách đang thực hiện kết nối vào mạng của bạn. Cần phải lưu ý rằng không phải tất cả các máy trạm đều tương thích với Network Access Protection. Để được xem xét là Enforcement Client, máy trạm phải có thể chạy thành phần System Health Agent, đây là thành phần mà chúng tôi sẽ giới thiệu cho các bạn trong các phần tiếp theo. Chỉ Windows Vista và Windows XP SP3 mới có khả năng chạy System Health Agent và chính vì vậy chỉ có các hệ điều hành máy trạm này tương thích với Network Access Protection. Thuật ngữ tiếp theo mà bạn cần biết đến là System Health Agent hoặc SHA. System Health Agent là một tác nhân chạy như một dịch vụ trên máy trạm và kiểm tra Windows Security Center. Tác nhân này chịu trách nhiệm cho việc báo cáo các thông tin về trạng thái sức khỏe của hệ thống đối với máy chủ Enforcement Server nhờ sự kết nối.
  3. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Khái niệm tiếp theo mà chúng tôi muốn giới thiệu cho các bạn sẽ là Enforcement Server. Enforcement Server là một máy chủ dùng để thi hành các chính sách đã được định nghĩa bởi NAP. Một thuật ngữ khác cũng cần phải biết đến đó là System Health Validator hoặc SHV. System Health Validator sử dụng các thông tin mà nó thu lượm được từ System Health Agent và so sánh với các thông tin về trạng thái “sức khỏe” như định nghĩa. Thuật ngữ cuối cùng mà chúng tôi muốn giới thiệu là Remediation Server. Một remediation server là một máy chủ để tạo khả năng truy cập cho các máy khách không có đủ các tiêu chuẩn truy cập mạng như đã được thiết lập. Một máy chủ remediation server (tạm dịch là máy chủ dùng để điều đình lại) sẽ chứa tất cả các cơ chế cần thiết cho việc tạo một sự đồng thuận của máy khách với các chính sách. Cho ví dụ, máy chủ này có thể sử dụng các bản vá bảo mật cho máy khác thực thi. Các hạn chế của NAP Có một thứ mà chúng tôi muốn đề cập về NAP là nó cung cấp cho bạn một cách nâng cao sự bảo mật cho các tổ chức, tuy nhiên lại không thay thế được các cơ chế bảo mật khác mà bạn đang sử dụng. Network Access Protection không thỏa mãn được sự hài lòng trong trường hợp bảo đảm các máy khách từ xa tuân theo chính sách an ninh mạng. Trong thực tế, nó sẽ có thể thực hiện một công việc tốt hơn đối với việc thực thi chính sách này theo thời gian vì nó này được dựa trên các chuẩn mở. Điều này có nghĩa rằng các hãng phần mềm thứ ba sẽ có thể viết các module chính sách cho riêng bạn, chính sách này sẽ cho phép bạn tạo các chính sách bảo mật để sử dụng cho phần mềm của các nhóm thứ ba đang chạy trên enforcement client. Những gì Network Access Protection không thể thực hiện được là ở chỗ, nó không thể tránh được các kẻ xâm phạm bừa bãi vào mạng. Network Access Protection chỉ bảo đảm rằng các máy trạm đang được sử dụng cho việc truy cập từ xa có đủ các tiêu chuẩn. Chính vì vậy, Network Access Protection sẽ chỉ ngăn được hacker nếu máy tính không thỏa mãn chính sách an ninh mạng của bạn còn trong trường hợp máy tính của hacker đồng thuận theo chính sách này thì sẽ rất khó để có thể thiết lập truy cập của hacker là truy cập bị từ chối. Kết luận Trong phần này chúng tôi đã giới thiệu cho các bạn rằng Network Access Protection có thể cung cấp một cách bảo vệ máy trạm trong việc kết nối với mạng thông qua một chính sách bảo mật mạng. Trong phần tiếp theo của bài
  4. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về các thực thi bổ sung một tính năng của Network Access Protection. Cơ sở hạ tầng mạng cho Network Access Protection Việc thực thi cơ sở hạ tầng mạng yêu cầu đến một vài máy chủ, mỗi một máy chủ ở đây sẽ thực hiện một vai trò nào đó. Như những gì các bạn thấy trong hình bên dưới, chúng ta sẽ sử dụng một Routing và Remote Access Server, một domain controller và một Network Policy Server. Hình A: Thực thi NAP yêu cầu tới một vài máy chủ Như những gì bạn thấy trong hình trên, Windows Vista client đang được kết nối với máy chủ Windows Server 2008 (máy chủ đang chạy dịch vụ Remote Access (RRAS)). Máy chủ này đóng vai trò như một VPN server cho mạng. Windows Vista client thiết lập một kết nối với máy chủ VPN này theo cách thức thông thường. Khi người dùng từ xa kết nối với máy chủ VPN, các chứng chỉ của họ phải hợp lệ bằng RADIUS protocol. Máy chủ chính sách mạng sẽ xác định chính sách “sức khỏe” nào đang bị gây ảnh hưởng và điều gì sẽ xảy ra nếu máy khách từ xa không thỏa mãn chính sách này.
  5. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Trong môi trường thí nghiệm, một máy chủ vật lý có thể được sử dụng để cấu hình cho cả Routing and Remote Access Service role và Network Policy Server role. Trong các máy chủ VPN thực tế tồn tại ở các mạng vành đai đôi khi độ bảo mật sẽ kém đi với mạng nếu bạn cấu hình máy chủ chính sách mạng trên máy chủ này. Domain ControllerNếu quan sát vào sơ đồ thể hiện trong hình A bạn sẽ thấy rằng một trong các máy chủ yêu cầu là domain controller. Máy chủ này không phải là một máy chủ đơn thuần mà đúng hơn là toàn bộ một cơ sở hạ tầng Active Directory. Như những gì bạn đã biết, Active Directory không thể hoạt động mà không có máy chủ DNS. Nếu sơ đồ này là một trường hợp của mạng thực thì domain controller phải cấu hình các dịch vụ DNS. Các tổ chức thường sử dụng nhiều bộ điều khiển miền và các máy chủ DNS chuyên dụng. Những yêu cầu về cơ sở hạ tầng phụ không thể hiện trong hình vẽ trên là Enterprise Certificate Authority. Tuy nhiên, Windows có thể được cấu hình để thực hiện theo khả năng như vậy. Trong loạt bài này, chúng tôi sẽ cấu hình domain controller để thực hiện như một bộ phận thẩm định chứng chỉ doanh nghiệp. Nếu đây là một triển khai thực của bạn thì bạn sẽ sử dụng các máy chủ chuyên dụng để thẩm định chứng chỉ doanh nghiệp với những lý do về của các chứng chỉ số. Cài đặt thẩm định chứng chỉ doanh nghiệp (Enterprise Certificate Authority) Thủ tục cho việc triển khai một bộ thẩm định chứng chỉ doanh nghiệp khác nhau tùy thuộc vào những gì bạn sẽ cài đặt các dịch vụ trên Windows 2003 server hoặc Windows 2008 server. Do một mục đích của bài viết là làm sao thân thiện với bạn đọc nhất với Windows 2008 Server nên thủ tục dưới đây được dự định cho việc cài đặt các dịch vụ chứng chỉ trên Windows Server 2008. Trước khi giới thiệu cho các bạn cách cài đặt các dịch vụ chứng chỉ, bạn cần lưu ý rằng trong triển khai thực bạn sẽ sử dụng các thông số cực độ để bảo đảm cho bộ thẩm định chứng chỉ doanh nghiệp của bạn được an toàn. Nếu ai đó thỏa hiệp với nó, họ sẽ sở hữu mạng của bạn. Vì bài viết này chỉ tập trung vào Network Access Protection chứ hoàn toàn không tập trung vào các dịch vụ của chứng chỉ nên chúng tôi sẽ giới thiệu cho các bạn một chút về các dịch vụ chứng chỉ. Trong triển khai thực, bạn sẽ muốn có được khả năng cấu hình cho máy chủ. Bắt đầu quá trình triển khai bằng việc mở Server Manager của Windows 2008 Server và chọn tùy chọn Roles từ cây giao diện điều khiển. Tiếp đến, kích vào liên kết Add Roles trong phần Roles Summary của giao diện điều khiển. Thao
  6. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com tác này sẽ làm cho Windows khởi chạy Add Roles Wizard. Kích Next để đi qua cửa sổ Welcome của wizard. Lúc này bạn sẽ thấy một danh sách tất cả các role như thể hiện trong hình B. Chọn tùy chọn Active Directory Certificate Server từ danh sách. Kích Next để tiếp tục. Hình B: Windows liệt kê tất cả các role có sẵn cho bạn Ở đây, bạn sẽ gặp một cửa sổ giới thiệu cho bạn về các dịch vụ chứng chỉ và cung cấp một số chú ý cần thiết. Kích Next để bỏ qua cửa sổ này, bạn sẽ gặp một cửa sổ khác, cửa sổ này sẽ hỏi bạn về các thành phần nào muốn cài đặt. Chọn các hộp kiểm Certification Authority và Certificate Authority Web Enrollment Bạn sẽ thấy một cửa sổ tương tự như cửa sổ xuất hiên trong hình C, cửa sổ này thông báo cho bạn rằng một số role bổ sung phải được cài đặt trước để cài đặt Certificate Authority Web Enrollment Role. Kích nút Add Required Role Service, sau đó kích Next.
  7. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình C: Certificate Services Web Enrollment Role không thể làm việc mà không có IIS Một cửa sổ sẽ xuất hiện hỏi bạn xem có thích tạo một certificate authority doanh nghiệp hoặc một certificate authority chuẩn. Chọn tùy chọn Enterprise Certificate Authority và kích Next. Khi đó bạn sẽ được nhắc nhở về sử dụng máy chủ này như một Root CA hay Subordinate CA. Do đây chỉ là certificate authority trong thí nghiệm nên bạn chọn tùy chọn Root CA. Kích Next để tiếp tục. Wizard sẽ hỏi bạn có muốn tạo một private key mới hay sử dụng private key hiện có hay không. Cũng do thực hiện trong cài đặt thử nghiệm nên chúng ta hãy chọn tùy chọn tạo private key mới và kích Next để tiếp tục. Cửa sổ tiếp theo mà bạn bắt gặp sẽ hỏi bạn sẽ tạo một private key mới hoặc sử dụng private key hiện có. Do không có private key tồn tại từ trước nên bạn hãy chọn tùy chọn tạo private key mới và kích Next. Lúc này bạn sẽ thấy một cửa sổ giống như thể hiện trong hình D, cửa sổ này hỏi bạn về chọn nhà cung cấp dịchvụ mã hóa, độ dài khóa và thuật toán “hash”. Vì chúng ta sẽ thiết lập certificate authority này với mục đích minh chứng nên hãy chọn các tùy chọn mặc định và kích Next.
  8. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình D: Chọn các tùy chọn mã hóa thích hợp cho triển khai thực để đảm bảo vấn đề bảo mật Cửa sổ tiếp theo các bạn gặp sẽ cho bạn một sự lựa chọn để định nghĩa tên chung và hậu tố tên phân biệt cho certificate authority, ở đây bạn cũng chọn mặc định và kích Next. Bạn sẽ thấy một cửa sổ hỏi về khoảng thời gian mà các chứng chỉ vẫn còn hợp lệ. Chu kỳ thời gian mặc định này là 5 năm, ở thực hành này không quan trọng về vấn đề này nên chúng ta chỉ cần kích Next. Cửa sổ tíêp theo sẽ hỏi bạn về địa điểm đặt các cơ sở dữ liệu và các bản ghi phiên liên lạc tương ứng. Trong môi trường sản xuất, việc chọn một địa điểm thích hợp rất quan trọng để cho việc chuyển đổi dự phòng và bảo mật. Do đây là thực hành thử nghiệm nên chúng ta chỉ cần chọn theo mặc định và kích Next. Cho đến đây, chúng ta đã phải bổ sung vào giữa dòng một role để hỗ trợ cho Certificate Services Web Enrollment role. Chính vì vậy cửa sổ kế tiếp mà bạn sẽ thấy là một giới thiệu về IIS. Kích Next để đi qua cửa sổ này, bạn sẽ gặp tiếp một cửa sổ hỏi bạn về thành phần Web Server nào muốn cài đặt. Tuy nhiên bạn cần phải hiểu rằng Windows đã tạo những sự lựa chọn thích hợp cho bạn, chính vì vậy chỉ cần kích Next.
  9. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Bạn sẽ thấy một cửa sổ chi tiết các tùy chọn đã được chọn. Kích nút Install, khi đó Windows sẽ copy các file cần thiết và cấu hình các dịch vụ bên dưới. Khi quá trình được hoàn tất, các kết quả sẽ thể hiện trên màn hình cho bạn thấy được các role đã được cài đặt thành công, xem thể hiện trong hình E. Kích Close để hoàn tất quá trình này. Hình E: Khi quá trình cài đặt được hoàn tất, kích nút Close Kết luận Trong phần này chúng tôi đã giới thiệu cho các bạn cách cấu hình certificate authority cho doanh nghiệp, từ phần ba trở đi chúng tôi sẽ bắt đầu bước vào cấu hình VPN server.  
  10. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Giới thiệu bổ sung về Network Access Protection - Phần 2 Trong phần hai của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách cài đặt một Enterprise Certificate Authority và cách chuẩn bị những phần còn lại của cơ sở hạ tầng mạng cần thiết trong quá trình triển khai và sử dụng Network Access Protection. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn về cách cấu hình VPN Server. Với mục đích của bài viết, chúng tôi sẽ cài đặt Network Policy Server trên cùng máy tính vật lý được sử dụng cho VPN Server. Tuy nhiên trong triển khai bảo mật thực, bạn nên sử dụng hai máy tính riêng biệt để cấu hình các role cho các mục đích bảo mật. Việc cấu hình các role trên cùng một máy tính chỉ nên được thực hiện trong môi trường lab. Các nhiệm vụ cấu hình cơ bản Trước khi chúng tôi giới thiệu cho các bạn cách cấu hình máy chủ này để thực hiện như máy chủ VPN, bạn phải thực hiện một số nhiệm vụ cấu hình cơ bản. Về cơ bản, nghĩa là bạn phải cài đặt Windows Server 2008 và cấu hình để có thể sử dụng một địa chỉ IP tĩnh. Địa chỉ IP tĩnh phải nằm trong cùng dải địa chỉ với domain controller mà bạn đã cấu hình trước đó. Thêm vào đó, các thiết lập của máy chủ DNS của máy chủ trong cấu hình TCP/IP của nó cần phải trỏ đến domain controller mà bạn đã thiết lập từ trước trong loạt bài này, điều này là do nó cũng đang hoạt động như một máy chủ DNS. Sau khi hoàn thành việc thực hiện cấu hình ban đầu cho máy chủ, bạn nên sử dụng lệnh PING để thẩm định rằng máy chủ VPN có thể truyền thông với domain controller. Gia nhập một miền Cho đến đây bạn đã chỉ định xong cấu hình TCP/IP của máy và đã test thử kết nối của nó, đây chính là lúc chúng ta bắt đầu với các nhiệm vụ cấu hình thực. Thứ đầu tiên mà bạn cần phải thực hiện là gia nhập vào một miền mà đã được tạo từ trước trong loạt bài này đối với máy chủ của mình. Quá trình gia nhập vào một miền trong Windows Server 2008 gần giống như trong Windows Server 2003. Để gia nhập vào một miền, bạn hãy kích chuột phải vào lệnh Computer có trong menu Start của máy chủ và chọn lệnh Properties từ menu xuất hiện. Bằng cách thực hiện như vậy, Windows sẽ mở cho bạn applet hệ thống của Control Panel, khi đó bạn hãy kích vào nút Change Settings trong Computer Name, Domain và phần Workgroup Settings của cửa sổ này. Bạn sẽ thấy xuất hiện trang các thuộc
  11. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com tính của hệ thống. Trang thuộc tính hệ thống gần giống như trong Windows Server 2003, tham khảo trong hình A. Kích nút Change để xuất hiện hộp thoại Computer Name Changes. Trong hình A, nút Change bị đánh dấu màu xám vì máy chủ đã gia nhập vào một miền. Lúc này, hãy chọn nút radio Domain. Nhập tên của miền vào trường Domain và kích OK. Hình A: Cửa sổ Properties của hệ thống gần giống với các cửa sổ cùng loại trong Windows Server 2003 Bạn sẽ thấy một hộp thoại xuất hiện nhắc nhở bạn về các chứng chỉ cần thiết. Nhập username và password vào tài khoản quản trị viên miền của bạn, kích nút Submit. Sau một chút thời gian chờ, bạn sẽ thấy một hộp thoại chào đón bạn gia nhập vào một miền. Kích OK, khi đó bạn sẽ thấy một hộp thoại khác yêu cầu bạn phải khởi động lại máy tính. Kích OK thêm lần nữa, sau đó là Close. Khi bạn khởi động lại máy tính, máy tính lúc đó sẽ là một thành viên của miền mà bạn đã chỉ định. Cài đặt Routing và Remote Access Lúc này chúng ta hãy cài đặt dịch vụ Routing và Remote Access. Như một phần
  12. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com của quá trình cài đặt, chúng tôi sẽ cấu hình dịch vụ này để hành động như một máy chủ VPN. Bắt đầu quá trình bằng cách mở Server Manager. Bạn có thể thấy một shortcut đến Server Manager trên menu Administrative Tools. Khi Server Manager được mở, bạn hãy tìm đến phần Roles Summary trong panel chi tiết. Lúc đó, hãy kích vào liên kết Add Roles để khởi chạy Add Roles Wizard. Khi Add Roles Wizard được khởi chạy, kích Next để đi qua màn hình chào. Lúc đó bạn sẽ thấy một cửa sổ nhắc bạn về role nào muốn cài đặt trên máy chủ. Tích vào hộp kiểm tương ứng với tùy chọn Network Policy và Access Services. Kích nút Next, bạn sẽ được đưa đến cửa sổ chứa các thông tin giới thiệu về Network Policy và Access Services. Kích Next lần nữa, bạn sẽ thấy một cửa sổ nhắc bạn về chọn các thành phần của Network Policy và Access Services để cài đặt. Chọn hộp kiểm tương ứng với Network Policy Server, Routing và Remote Access Services, xem thể hiện trong hình B. Hình B: Chọn các tùy chọn Network Policy Server, Routing và Remote Access Services Khi bạn chọn hộp kiểm Routing và Remote Access Service, các hộp kiểm Remote Access Service và Routing sẽ được chọn một cách tự động. Bạn phải để lại dấu kiểm trên các hộp chọn này vì chúng sẽ cài đặt các thành phần cần
  13. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com thiết cho máy chủ để nó có thể hoạt động như một VPN. Kích Next, khi đó bạn sẽ được đưa đến một cửa sổ hiển thị các thông tin tóm tắt về các dịch vụ đã được cài đặt. Giả sử rằng mọi thứ đều ok, khi đó bạn hãy kích nút Install để bắt đầu quá trình cài đặt. Đây chính là thời điểm thích hợp để bạn tạm nghỉ đôi chút vì quá trình cài đặt sẽ tiêu tốn một vài phút để hoàn tất, thời gian cụ thể còn phụ thuộc vào phần cứng máy tính của bạn. khi quá trình cài đặt được hoàn tất, kích nút Close. Sau khi cài đặt xong Network Access Services, bạn hãy cấu hình Routing và Remote Access Service để chấp nhận các kết nối VPN. Bắt đầu bằng cách mở Server Manager và điều hướng thông qua giao diện cây đến Server Manager | Roles | Network Policy và Access Service | Routing and Remote Access. Lúc này, hãy kích chuột phải vào mục Routing and Remote Access và chọn Configure and Enable Routing and Remote Access. Khi đó Windows sẽ mở Routing and Remote Access Server Set up Wizard. Kích Next để đi qua cửa sổ chào đón. Khi đó bạn sẽ thấy một cửa sổ hỏi bạn về cấu hình nào bạn muốn sử dụng. Chọn tùy chọn Remote Access (dial-up hoặc VPN), như thể hiện trong hình C và kích Next. Cửa sổ sau đó sẽ cho bạn một sự lựa chọn giữa việc cấu hình truy cập dial-up hay VPN. Chọn hộp kiểm VPN và kích Next.
  14. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình C: Chọn tùy chọn Remote Access (Dial-Up or VPN)và kích Next Wizard sẽ đưa bạn đến trang kết nối VPN. Lúc này, hãy chọn giao diện mạng sẽ được sử dụng bởi các máy khách để kết nối với VPN server và hủy tùy chọn “Enable Security on the Selected Interface by Setting up Static Packet Filters”, xem thể hiện trong hình D.
  15. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình D: Chọn network adapter mà bạn muốn sử dụng cho các yêu cầu VPN inbound (gửi đến) Kích Next, bạn sẽ thấy cửa sổ hỏi bạn xem có muốn gán các địa chỉ IP cho các máy khách một cách tự động không, hay thích chọn các địa chỉ từ một dải địa chỉ cụ thể. Chọn tùy chọn From a Specified Range of Addresses và kích Next. Tại đây, bạn sẽ thấy một cửa sổ yêu cầu bạn nhập vào dải địa chỉ IP để gán cho các máy khách VPN. Kích nút New và nhập vào địa chỉ bắt đầu và địa chỉ cuối cùng cho dải địa chỉ IP của bạn, xem thể hiện trong hình E. Khi đã thực hiện xong, kích OK, sau đó kích Next. Windows khi đó sẽ mở trang của Managing Multiple Remote Access Server.
  16. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình E: Bạn phải nhập vào một dải địa chỉ IP để gán cho các máy khách Wizard sẽ hỏi bạn xem bạn có muốn máy chủ RRAS có thể thẩm định các yêu cầu kết nối không hoặc xem bạn có thích sử dụng máy chủ RADIUS. RRAS có khả năng thực hiện sự thẩm định cần thiết, nhưng với các tổ chức lớn thường nhiều máy chủ RRAS hãy nên sử dụng RADIUS server tập trung cho thẩm định để tạo sự dễ dàng trong quản lý. Tiếp tục và chọn tùy chọn Yes để cấu hình máy chủ sao cho nó có thể làm việc với Radius server. Lúc này bạn sẽ được nhắc nhở nhập vào địa chỉ IP cho Radius server của mình. Chúng ta vẫn chưa thiết lập Radius server nhưng sau chúng ta sẽ cài đặt RADIUS trên VPN server. Tuy nhiên trong triển khai thực bạn sẽ cần phải cài đặt RADIUS trên một máy chủ riêng. Nhưng ở đây với mục đích giới thiệu chúng ta chỉ nhập vào địa chi IP của chính máy chủ với tư cách là địa chỉ máy chủ Radius chính và phụ. Bạn sẽ được nhắc nhở nhập vào một bí mật chia sẻ. Cho mục đích minh chứng, bạn chỉ cần nhập vào rras là đủ. Khi đã thực hiện xong, kích Next và sau đó là Finish. Khi đó bạn sẽ thấy một cặp cảnh báo. Chỉ cần kích OK để đóng mỗi cảnh báo này. Bước cuối cùng trong quá trình cấu hình RRAS là thiết lập cơ chế thẩm định. Để thực hiện điều đó, bạn phải quay trở lại Server manager, kích chuột phải vào mục Routing and Remote Access và chọn Properties. Khi đó bạn sẽ gặp một cửa sổ thuộc tính của máy chủ. Vào tab Security và kích nút Authentication
  17. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Methods. Thẩm định rằng các hộp kiểm MSCHAPv2 và EAP đã được chọn, như thể hiện trong hình F và kích OK. Hình F: Thẩm định rằng các tùy chọn MSCHAPv2 và EAP được lựa chọn Kết luận Trong bài này chúng tôi đã giới thiệu cho các bạn cách cài đặt và cấu hình Routing và Remote Access Services theo cách cho phép máy chủ thực hiện như một VPN server. Trong phần tiếp theo của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách cấu hình thành phần Network Policy Server.  
  18. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Network Access Protection - Phần 3 Brien M. Posey Trong phần này chúng tôi sẽ tiếp tục giới thiệu về Network Access Protection bằng cách giới thiệu cho bạn cách cấu hình Network Policy Server. Trong phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn cách cấu hình thành phần VPN, đây là thành phần sẽ được sử dụng để cho phép người dùng bên ngoài có thể truy cập vào mạng, chúng tôi sẽ tiếp tục thảo luận bằng cách giới thiệu cho các bạn cách cấu hình thành phần Network Policy Server. Như đã giới thiệu ở các phần trước trong loạt bài này, công việc của Network Policy Server là so sánh các báo cáo về tình trạng sức khỏe mà nó nhận được từ các máy tính đang yêu cầu truy cập vào mạng đối với chính sách sức khỏe của hệ thống. Chính sách sức khỏe của hệ thống sẽ chỉ thị những gì được yêu cầu đối với các máy tính để chúng được coi là các máy tính khỏe mạnh (hay đủ tiêu chuẩn truy cập). Trong triển khai thực, một chính sách sức khỏe của hệ thống yêu cầu các máy trạm phải chạy một hệ điều hành Windows hiện hành và có tất cả các bản vá bảo mật mới nhất. Không quan tâm đến những tiêu chuẩn gì bạn sử dụng để quyết định xem máy trạm đó có đủ sức khỏe hay không, bạn sẽ phải thực hiện một số công việc. Với mục đích minh chứng, chúng tôi sẽ tạo một chỉ thị sức khỏe hệ thống rất đơn giản để kiểm tra xem tường lửa Windows có được kích hoạt hay không. Nếu tường lửa được kích hoạt thì chúng ta sẽ công nhận máy trạm đó đủ tiêu chuẩn về sức khỏe. Như đã đề cập đến trong các phần trước của loạt bài này, trong triển khai thực, bạn sẽ không cấu hình Network Policy Server trên cùng một máy chủ với máy chủ VPN. Máy chủ VPN sẽ bị phơi bày ra bên ngoài thế giới thực còn nếu cấu hình Network Policy Server trên máy chủ này thì bạn rất có thể bạn sẽ gặp những rủi ro vì Network Policy Server sẽ bị thỏa hiệp. Không có thành phần nào trong Windows ngăn chặn bạn sử dụng cùng một máy chủ cho cả hai thành phần VPN và Network Policy Server, vì vậy cho mục đích minh chứng chúng tôi sẽ sử dụng trên cùng một máy chủ để cấu hình cho cả hai thành phần này. Cấu hình Network Policy Server Bắt đầu quá trình cấu hình bằng cách nhập lệnh MMC vào nhắc lệnh để mở giao diện quản lý của hoàn toàn trống rỗng của Microsoft. Khi giao diện được mở, bạn hãy chọn lệnh Add / Remove Snap-in từ menu File. Bạn sẽ gặp một hộp thoại Add or Remove Snap-Ins. Chọn tùy chọn Network Policy Server từ danh sách các snap-in có sẵn và kích nút Add. Lúc đó bạn sẽ thấy một nhắc nhở hỏi bạn xem bạn thích quản lý máy tính nội bộ hay máy tính khác. Hãy bảo đảm rằng tùy chọn Local Computer (máy nội bộ) được chọn, sau đó kích OK. Kích OK thêm một lần nữa và thành phần Network Policy Server sẽ được mở. Tại đây, bạn phải điều hướng thông qua cây giao diện đến NPS (Local) | Network Access Protection | System Health Validators, xem thể hiện trong hình A. Kích chuột phải vào đối tượng Windows System Health Validator trong panel trung tâm của giao diện điều khiển và chọn lệnh Properties. Khi đó Windows sẽ hiển thị cho bạn hộp thoại Windows Security Health Validator Properties, xem thể hiện trong hình B.
  19. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình A: Điều hướng trong cây giao diện đến NPS (Local) | Network Access Protection | System Health Validators
  20. Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com Hình B: Hộp thoại Windows Security Health Validator Properties được sử dụng để cấu hình bộ chỉ thị tình trạng sức khỏe của hệ thống. Kích nút Configure của hộp thoại, khi đó Windows sẽ hiển thị hộp thoại Windows Security Health Validator, xem thể hiện trong hình C. Như những gì bạn có thể thấy trong hình, hộpthoại này sẽ cho phép bạn định nghĩa chính sách của bộ chỉ thị tình trạng sức khỏe hệ thống. Mặc định hộp thoại này sẽ được cấu hình yêu cầu tường lửa của Windows, Windows update và các bộ bảo vệ chống virus và chống spyware cũng phải được kích hoạt và cập nhật thường xuyên. Do chúng ta chỉ quan tâm vào việc bảo đảm sao cho tường lửa Windows được kích hoạt, hãy để tùy chọn “A Firewall is Enabled for all Network Connections” được chọn và hủy chọn tất cả các tùy chọn khác. Kích OK hai lần để tiếp tục.
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2