PhươngthứcthựcthiNAPIPSecđượcthựchiệnđểbảovệcáckếtnốiquan trọngtronghệthốngnộibộ.ĐócóthểgiaotiếpgiữamáyClientvàFileserverchứa cácthôngtinnhạycảm(nhưdanhsáchkháchhàng,báocáotàichính…),đócóthể làkếtnốigiữa2máyclientđểtraođổithôngtin…Triểnkhaiphươngthứcthựcthi IPSec,chúngtasẽtránhđượccácnguycơmấtantoànngaytừtrongnộibộhệ thống.
Trang59
QuảnlýtruycậpmạngdựatrênNAP
Cácnhàquảntrịmạngcóthểtriểnkhaiphươngthứcnàychohệthốngmạng tổchứcmìnhtheomôhìnhnhưsau:
Hình3.2:MôhìnhtriểnkhaiphươngthứcthựcthiIPSec
Mụcđíchcủaphươngthứcthựcthinàylàđảmbảocácmáythỏamãnchính sáchtronghệthốngnộibộkhitraođổidữliệusẽđượcmãhóa.Vìthế,khitriển khai,cácnhàquảntrịmạngkhôngcầnphảitácđộngtớicácthànhphầnkhácnhư Switch,RouterhayFirewall,cũngnhưtớicácthiếtbịtạicáclớpmạngkháckhông liênquan.
ĐểtriểnkhaiđượcphươngthứcthựcthiIPSec,tronghệthốngchúngtacần phảicó:MáychủDomainController,máychủRootCA,cácmáychủNPS,HRA, subordinateCA.Tùytheoyêucầucủatổchứcmàchúngtacóthểgộpchungcác máychủnàyhoặctáchrariênglẻtừngloạimáychủvớinhau.Vàkhôngphảitấtcả cácmáychủnàyđềuyêucầuhệđiềuhànhWindowsServer2008.Chúngtachỉ phảicàiđặtWindowsServer2008lêncácmáychủNPS,HRAmàthôi.Vàtất nhiên,máyClientnàomuốnđượcbảovệcáckếtnốicủamìnhthìphảiđượccàiđặt hệđiềuhànhWindowsXPSP3hoặcWindowsVista.
Tiếptheo,chúngtatriểnkhaiphươngthứcthựcthiIPSec.Trongmôhình triển khai này, chúng ta có một máy chủ Domain Controller quản trị domain vietnam.vn(MáychủnàyđượccàiđặtWindowsServer2003SP1),máychủnày cũnggiữvaitròlàRootCAtrongmiền.CácmáychủNPS,HRAvàSubordinate CAđượccàiđặttrên1máyWindowsServer2008.Máychủnàylàmembercủa domainvietnam.vn.
Vềmặtvậtlý,lớpmạngdànhchocácmáytrạmđượctáchriêngvớilớp mạngdànhchocácServerbởihệthốngFirewall.Chínhvìvậy,cácnhàquảntrị mạngcầncấuhìnhFirewallnhưchúngtađãphântíchphíatrên.CònvềmặtLogic
Trang60
QuảnlýtruycậpmạngdựatrênNAP
tronghệthốngActiveDirectory,môhìnhtriểnkhainàychúngtagiảsửcácmáy trạmđượcđặtcùngtrên1OU(OrganizationUnit),máyFileServernằmtrênOU khác.
3.1.1. Cài đặ t và cấ u hình Root CA trên máy ch ủ Domain Controller
ChúngtatiếnhànhcàiđặtEnterpriseRootCertificationAuthoritychomiền vietnam.vn.Saukhicàiđặtthànhcông,chúngtasửdụnggiaodiệnquảntrị
certtmpl.mscđểcấuhìnhCertificateTemplatedùngchoviệccấpHealth Certificate sau này. Trong mô hình triển khai này, chúng ta đặt tên cho Template là System Health Authentication và ID của Template là
.3.6.1.4.1.311.47.1.1 nhưsau:
Trang61
QuảnlýtruycậpmạngdựatrênNAP
SaukhitạothànhcôngvàPublicTemplatetrongmiền,chúngtacầnphảicấu hìnhGPOápdụngtrêntoànmiền,chophépRootCAcấpphátchứngchỉtự động
Hình3.3:CấuhìnhRootCAtrongphươngthứcIPSec 3.1.2. Cấ u hình máy ch ủ NPS.
MáychủNPSđượccàiđặthệđiềuhànhWindowsServer2008Enterprise. MáychủnàycũngsẽnắmvaitròHRAvàSuboridinateCAtronghệthống. KhitriểnkhaimáychủNPStrongmôhìnhnày,chúngtacầnphảikiểmtra đểchắcchắnrằngNPSServerđãđượcnhận2chứngchỉ.Đầutiênlàchứng chỉSystemHealthAuthentication,ClientAuthenticationdànhchocácmáy không cần phải áp dụng NAP IPSec, và chứng chỉ thứ hai: Client Authentication,ServerAuthenticationdùngvàoviệctạokếtnốimãhóaSSL giữacácServer.
Trang62
Bướctiếptheo,chúngtasửdụngServerManagerđểcàiđặtcácRoleNPS, HRAvàCA.Saukhicàiđặt3rolenày,máychủNPSsẽhoạtđộngvớivai tròNAPHealthPolicyServer,NAPEnforcementServervàCASubordinate server.
Hình3.4:CàiđặtNPSvàSubOrdinateCA
Trang63
QuảnlýtruycậpmạngdựatrênNAP
Saukhicàiđặtxong,chúngtatiếnhànhcấuhìnhSubordinateCA,HRAvà NAPHealthPolicyserver.Trongphầnnày,chúngtacầnchúýcấuhìnhchỉ rõchoHRAsửdụngSubordinateCAkhinhậnđượcyêucầuxinchứngchỉ nhưsau:
Hình3.5:CấuhìnhSubordinateCAtrênmáychủNPS
ĐểcấuhìnhNAPHealthPolicyServer,chúngtasửdụnggiaodiệnquảntrị
nps.mscnhưsau:
Hình3.6:CấuhìnhNPSServertrongphươngthứcIPSec
Để có thể sử dụng phương pháp thựcthiIPSec,ngoàiviệc cấu hình các servernhưtrên,chúngtacầnenableNAPAgentvàNAPEnforcementClient
Trang64
QuảnlýtruycậpmạngdựatrênNAP
trêncácmáyclient.CáchđơngiảnnhấtđểlàmviệcnàylàsửdụngGPOnhư sau:
3.1.3. Kiểm tra s ự ho ạ t độ ng c ủ a NAP.
ĐểkiểmtraxemNAPđãhoạtđộnghaychưa,chúngtatiếnhànhkiểmtra nhưsau:
- KiểmtracácmáyClientthỏamãnchínhsáchtruycậpmạngxemcónhận đượcHealthCertificatehaykhông.Chúngtaphảichắcchắnnóđãđược tựđộngcấpchứngchỉnhưsau:
Trang65
QuảnlýtruycậpmạngdựatrênNAP
- Kiểmtratínhnăngauto-remediation:NếuNAPClientđangtừtrạngthái thỏamãnchínhsáchtruycậpchuyểnsangtrạngtháikhôngtươngthích, NAPsẽtựđộngnhậnra,cảnhbáovàchuyểnnósanglớpmạnghạnchế truycập.Đểkiểmtratínhnăngnày,cácbạncóthểthửtắtFirewalltrên NAPClient.Khiđó,tínhnăngauto-remediationsẽhoạtđộng,saukhi chuyểnNAPClientsanglớphạnchếtruycập,tínhnăngnàysẽcốgắng bậtFirewalllại.Vànếuthànhcông,NAPClientsẽquaytrởlạilớpmạng khônghạnchếtruycập.
Hình3.7:KiểmtrasựhoạtđộngcủaNAPIPSec
- KiểmtraNAPPolicyEnforcement:Nếuchúngtacấuhìnhlạichínhsách truycậpmạng,cácmáyClientsẽphảicậpnhậtlạitìnhtrạngsứckhỏehệ thống.Chúngtacầnkiểmtrachắcchắnrằng,nếukhôngthỏamãnchính
Trang66
QuảnlýtruycậpmạngdựatrênNAP
sách,HealthCertificatephảiđượcxóakhỏimáyclient.Vàsaukhiquá trìnhcậpnhậtthôngtin,nếuclienttươngthíchvớichínhsáchmới,nósẽ đượccấplạiHealthCertificate.
KiểmtrathànhcôngsựhoạtđộngcủaNAPcónghĩalàchúngtađãtriển khaiđượcphươngthứcthựcthiIPSec,đảmbảoantoànchocáckếtnốitạihệthống mạngnộibộ.TrênđâychúngtamớichỉthựchiệncácbướctiếnhànhcấuhìnhNAP IPSec,đảmbảonóhoạtđộngvớicácchínhsáchvềIPSecđãđượccấuhìnhtrước đó.Tùytheoyêucầucủatừnghệthống,màcácnhàquảntrịmạngsẽcấuhìnhcác chínhsáchIPSeckhácnhau,nhưngcácbướcthựchiệncấuhìnhphíatrênlànhư nhauđốivớitấtcảcáchệthống.
3.2. Triển khaiphương thứcthựcthi802.1X
Phương thức thực thi NAP 802.1X phân tách các máy trạmtheocáclớp mạngvậtlý.Cóthểnói,đâylàcáchhaynhấtđểthựchiệngiớihạnvàquảnlýtruy cậptronghệthống.Khôngcómộtphươngpháphaythủthuậtnàocóthểsửdụngđể chomộtmáytínhxâmnhậpvàohệthốngnộibộkhichúngtatriểnkhaiphương phápnày.Tấtcảcácmáy,tấtcảngườidùngđềusẽđượckiểmtratìnhtrạngsức khỏehệthốngrồimớiđượccấpquyềntruycập.
Môhìnhtriểnkhaidướiđâycóthểđượcápdụngtrongnhiềutổchức,công tykhácnhau:
Trang67
QuảnlýtruycậpmạngdựatrênNAP
Hình3.8:Môhìnhtriểnkhaiphươngthứcthựcthi802.1X
Trongmôhìnhtriểnkhaiphươngthứcthựcthi802.1X,cácnhàquảntrịcó thểtriểnkhaicảchohệthốngmạngcódâyvàkhôngdây.Vàởmôhìnhnày,cómột chúý:ĐólàmáychủRADIUScầnphảiđượctíchhợpvớimáychủNPS.Cácbước tiếptheodướiđây,chúngtasẽtriểnkhaiNAP–802.1Xchotruycậpmạngcódây. Đốivớimạngkhôngdây,cácbướclàmtươngtự,khôngcókhácbiệt.
Đểtriểnkhaiphươngthứcnày,cácnhàquảntrịmạngcầnphảicóSwitchhỗ trợphươngthứcxácthực802.1X,máychủquảntrịmiền,máychủRootCAvàmáy chủNPSServer.Trongđó,máychủNPSServerphảiđượccàiđặthệđiềuhành WindowsServer2008.Vàngoàira,cácmáyClienttronghệthốngcầnphảiđược càiđặthệđiềuhànhWindowsXPSP3hoặcWindowsVista.Chúngtasẽphảithực hiệncácbướcsauđâykhitriểnkhaiphươngthứcthựcthinày:
- Cấuhình802.1XSwitch - CàiđặtEnterpriseRootCA - CàiđặtvàcấuhìnhmáychủNPS - Cấuhìnhmáytrạmthựcthi802.1X
Chúngtacầnphảitạoraítnhất3VLANtrênSwitch.Trongmôhìnhnày, chúngtatạora3VLANnhưsau:
- VLANID1:ĐượcđặttênlàDefault_VLAN. VLANnàybaogồmtấtcả cácportkhôngđượcđánhdấu,khôngthuộc2VLANtiếptheo.
- VLANID2:ĐặttênlàNONCOMPILIANT_VLAN.Nhữngmáyclient đượcxácđịnhkhôngđủsứckhỏehệthốngsẽđượcđưavàoVLANnày đểhạnchếtruycập.
- VLANID3:CótênCOMPLIANT_VLAN.VLANnàydànhchocácmáy thỏamãnchínhsáchtruycậpmạng.
Chúng ta cấu hình Switch sử dụngmáychủ NPSlàmmáy chủ xác thực (authentication)vàủyquyền(authorization).Vàcácportnốivới2máychủ NPS và Domain Controller cần phải cấu hình không yêu cầu xác thực
Trang68
QuảnlýtruycậpmạngdựatrênNAP
802.1X.Ngoàirachúngtacầnchúý,nếusửdụngSwitchLayer3,thìphải disableinter-VLANroutinggiữaVLAN2vàVLAN3.
3.2.2. Cài đặt Enterprise Root CA trên máy ch ủ Domain Controller.
QuátrìnhcàiđặtRootCAkhôngquáphứctạp.Chúngtachỉcầnlàmtương tựnhưphầntrước.Tuynhiên,phươngthứcthựcthi802.1Xkhôngyêucầu phảicóHealthCertificate,chonênchúngtakhôngphảitạothêmTemplate mớinhưvớiphươngthứcthựcthiIPSec.
3.2.3. Cài đặ t và cấ u hình máy ch ủ NPS
MáychủNPSlàthànhviêncủadomain,đượccàiđặthệđiềuhànhWindows Server2008.ChúngtasửdụngServerManager,càiđặtRoleNetworkPolicy Server.Triểnkhaiphươngthứcthựcthi802.1X,chúngtachỉcầncàiđặt1 rolelàNetworkPolicyServernhưsau:
Hình3.9:CàiđặtNPSServertrongphươngthứcthựcthi802.1X
Saukhiquátrìnhcàiđặtthànhcông,chúngtacầnphảiRequesttớiRootCA đểlấychứngchỉchoNPS.Chứngchỉnàysẽđượcsửdụngchoquátrìnhxác thực PEAP giữa NPS Server và Domain Controller. Sử dụng giao diện MMC\Certificate,chúngtacóthểyêucầulấyđượcchứngchỉtừCAnhư sau:
Trang69
QuảnlýtruycậpmạngdựatrênNAP
Saukhirequestthànhcôngchứngchỉ,chúngtathựchiệnbướctiếptheo,đó làcấuhìnhNPSServer.
Sửdụnggiaodiệnnps.mscđểcấuhìnhphươngthứcthựcthi802.1X.Đối
vớiphươngthứcnày,NAPcungcấpchochúngta2lựachọn.Thứnhấtlà 802.1X–WiredchohệthốngmạngLAN,vàthứhailà802.1X–Wireless dànhchohệthốngmạngkhôngdây.Cáchthứccấuhìnhgiữa2lựachọnnày là tương tự như sau. Trong mô hình thử nghiệm này, chúng ta sử dụng 802.1X–Wirednhưsau:
Trang70
QuảnlýtruycậpmạngdựatrênNAP
Tiếp theo, chúng ta phải cung cấp cho NPS server địa chỉ của RADIUS Client,ởđâychínhlàthiếtbị802.1Xnhưsau:(Trongmôhìnhnày,802.1X Switchcóđịachỉlà172.16.1.254)
Trang71
QuảnlýtruycậpmạngdựatrênNAP
Hình3.10:CấuhìnhNPSServertrongphươngthứcthựcthi802.1X
Saukhicungcấpđịachỉcủa802.1XSwitch,chúngtaphảicấuhìnhNPS ServervớicácthôngtinvềVLANdànhchocácmáythỏamãnvàkhông thỏamãnchínhsáchtruycậpmạng.Trongmôhìnhtriểnkhainày,VLAN3 dànhchocácmáythỏamãnchínhsách,cònVLAN2dànhchocáchmáy khôngthỏamãn.Cácthôngsốcấuhình2VLANnàytươngtựnhưnhau,chỉ khácphầnVLANID(Tunnel-Ptv-Group-ID)màthôi.Dođóchúngtacần phảichúýcungcấpđúng.DướiđâylàcácthôngsốvềVLANdànhchocác máythỏamãnchínhsáchtruycập.
Trang72
Hình3.11:ThôngsốcấuhìnhVLANtrongphươngthức802.1X
Trang73
QuảnlýtruycậpmạngdựatrênNAP
BướccuốicùngtrênmáychủNPS,chúngtacấuhìnhđểkhởiđộngcácdịch vụcầnthiếttrênmáyclient.
Hình3.12:SửdụngGPOcấuhìnhcácdịchvụ802.1X
NgoàiservicesNAPAgentvàmộtEnforcementClient(trongtrườnghợp này là EAP Quarantine Enforcement Client) cần phải khởi động như các phương thức khác, phương thức thựcthi 802.1X còn yêu cầu client khởi độngmộtdịchvụkhác.ĐólàdịchvụWireAutoConfig.Cácdịchvụnàycó thểđượccấuhìnhkhởiđộnglocaltrêntừngmáytrạm,hoặccấuhìnhthông quaGPOcủamiền.CáchđơngiảnnhấtlàchúngtacấuhìnhbằngGPOcủa miền.
3.2.4. Cấ u hình máy tr ạ m sử dụ ng 802.1X
Chúngtacầnphảicấuhìnhchomáytrạmsửdụngphươngthứcxácthực 802.1X. Nếu nhưmáy chủ DomainController đượccàiđặt hệđiềuhành WindowsServer2008,chúngtacóthểlàmbướcnàybằngcáchdùngGPO
tạiphầnWiredNetwork(IEEE802.3)Policies.Tuynhiên,nếuhệthống
mạngsửdụngmáyWindowsServer2003làmDomainController,chúngta sẽphảimởrộngSchemahệthốngtrướckhicấuhìnhGPO.Trongmôhình
Trang74
QuảnlýtruycậpmạngdựatrênNAP
triểnkhainày,chúngtasẽcấuhìnhtrựctiếptrênmáyclient.Chúngtaphải cấuhìnhclientvớicácthôngsốnhưsau:
Hình3.13:Cấuhìnhmáytrạmsửdụng802.1X
Sau4bướccấuhìnhnhưtrên,chúngtasẽtriểnkhaithànhcôngphươngthức thựcthiNAP802.1Xtronghệthống.Phươngthứcthựcthi802.1Xlàmột phươngpháphoànhảonhấtđểépbuộctấtcảcácmáytrạmphảithựchiện việckiểmtratìnhtrạngsứckhỏehệthốngnếumuốntruycậpvàomạng.
3.3. Triển khaiphương thứcthựcthiDHCP,VPNvà TSGateway
3.3.1. Ph ươ ng th ứ c th ự c thi DHCP
Môhìnhtriểnkhaiphươngthứcnàykháđơngiản,khôngcógìphứctạp. DHCPvàNPSServercóthểđượccùngcàiđặttrên1server.Khitriểnkhai, chúngtacũngtiếnhànhtươngtựnhư2phươngthứctrên:Càiđặtvàcấu hìnhNPSServer,khởiđộngcácdịchvụvàEnforcementClientcầntương ứng.Tuynhiên,đốivớiphươngthứcnày,chúngtaphảicấuhìnhthêm1 bướctạiDHCPServernhưsau:
QuảnlýtruycậpmạngdựatrênNAP
Hình3.14:CấuhìnhphươngthứcthựcthiDHCP
MỗikhiClientyêucầuđượccấpDHCP,nếuthỏamãnchínhsáchtruycập mạng,nósẽđượccấpđầyđủcácthôngsốTCP/IP.Ngượclại,nếukhôngđủ tiêuchuẩn,nósẽđượcDHCPServersửdụngNAPDefaultClassđểcấpcác thôngsốhạnchếtruycập.
3.3.2. Ph ươ ng th ứ c th ực thi VPN.
ChúngtatriểnkhaimôhìnhthửnghiệmphươngthứcthựcthiVPNnhưsau:
Hình3.15:MôhìnhtriểnkhaiphươngthứcthựcthiVPN
Trang76
Quátrìnhcàiđặt,triểnkhaiRootCA,NPSServerđốivớiphươngthứcthực thiVPNkhôngkhácsovớicácphươngthứckhácmàchúngtađãlàmởtrên. Tuynhiên,khitriểnkhaichúngtacầnphảichúý2điểmkhácbiệtsau: - KhicấuhìnhVPNbằngdịchvụRoutingandRemoteAccess,chúngta
cầnphảicấuhìnhchỉrõRADIUSServerchínhlàNPSServer(địachỉ 192.168.0.2)
Hình3.16:CấuhìnhRADIUSServertrongphươngthứcVPN
- KhicấuhìnhNPSServer,chúngtaphảichỉchonóbiếtRADIUSClient là máy chủ nào. Trong mô hình này, RADIUS Client chính là VPN