Triển khai NPS - Network Policy Server - Part 1

16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 1/9 [Lab] Triển khai NPS - Network Policy Server - Part 1 Một trong những phương pháp quan trọng để bảo mật thông tin và dữ liệu là kiểm tra tình trạng an toàn của các máy tính trước khi cho phép chúng truy cập vào mạng LAN. Do đặt thù thiết kế của hệ thống DHCP Server, hiện nay hầu hết các hệ thống mạng LAN nói chung tồn tại một thực trạng là một số máy tính (PC, Laptop) chưa đảm bảo các điều kiện an toàn nhưng khi kết nối vào mạng LAN vẫn được cấp phát địa chỉ IP và truy cập mọi tài nguyên trong mạng LAN (nếu được phân quyền). Một số điều kiện chưa đảm bảo an toàn của máy tính như sau: Chưa bật tính năng Firewall: Domain, Private, Public Chưa cài đặt chương trình diệt virus Chưa update chương trình diệt virus lên phiên bản mới nhất Chưa cài đặt chương trình bảo vệ chống spyware Chưa update chương trình chống spyware lên phiên bản mới nhất Chưa cho phép máy tính ở chế độ cập nhật các bản vá Chưa cập nhật đầy đủ các bản vá về security cho các máy tính Khi một Client không đảm bảo các tiêu chuẩn an toàn khi truy cập vào mạng sẽ dẫn đến các nguy cơ, sự cố như: Home Forums MICROSOFT TECHNOLOGY Network Infrastructure Lab-Server 2003, 2008 Joined: Jul 19, 2015 Messages: 14 Likes Received: 0 Trophy Points: 0 thanhtung0601 Moderator Home Forums Search Forums Recent Posts Members Log in or Sign up      16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 2/9 Khi các máy tính bị nhiễm virus sẽ làm cho các file trong máy như word, excel, power point cũng bị nhiễm virus theo. Sau đó, người dùng tải các file đã nhiễm mã độc lên hệ thống cơ sở dữ liệu dùng chung như thư mục FTP, thư mục chung của phòng ban Lúc này, virus sẽ lây lan qua các máy tính khác trong mạng LAN. Khi máy tính bị nhiễm spyware, các spyware sẽ thông qua mạng LAN thu thập các thông tin nội bộ trong mạng, từ cấu hình mạng, thông tin các máy chủ, các file tài liệu. Khi máy tính đã cài các chương trình diệt virus và spyware nhưng chưa cập nhật lên phiên bản mới nhất thì khả năng bị tấn công từ các phần mềm độc hại cũng rất cao vì số lượng các mã độc, virus, spyware liên tục được tăng lên theo từng ngày và mức độ phức tạp cũng như khả năng phá hoại ngày càng cao hơn. Khi các Firewall bị tắt, các tin tặc có thể lợi dụng để tấn công vào các máy Client. Do lúc này, các port trên máy Client đã được mở hết và tin tặc có nhiều lựa chọn hơn để tấn công và xác suất thành công cũng sẽ cao hơn. Khi máy Client chưa cài đặt đầy đủ các bản vá lỗi, đặc biệt là các bản vá lỗi security, tin tặc sẽ lợi dụng các lổ hổng bảo mật đó để tấn công chiếm quyền điều khiển (người sử dụng không biết được máy tính mình đã bị chiếm do vẫn thao tác được bình thường). Từ đó, tin tặc có thể thu thập các thông tin về mạng LAN thông qua máy Client. 1. Nội dung thực hiện Giải pháp chính là cài đặt một Network Policy Server (NPS) thực hiện kiểm tra các tiêu chuẩn về an toàn cho các máy Client trong mạng LAN gồm các PC đã join domain, các Laptop kết nối đến mạng LAN có dây và mạng LAN không dây. Thiết lập các chính sách trên NPS như: các tiêu chuẩn về an toàn, các chính sách mạng, chính sách sức khỏeThiết lập chính sách NAP trên DHCP ServerThiết lập chính 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 3/9 sách trên Domain Controller để áp đặt các PC trong Domain bật chế độ kiểm tra các tiêu chuẩn an toàn – NAPThiết lập các PC, Laptop chưa join Domain bật chế độ kiểm tra các tiêu chuẩn an toàn – NAP Mô hình kỹ thuật Các thành phần cơ bản trong hệ thống mạng LAN: Server giữ chức năng Domain Controller cũng chính là server giữ các chức năng DHCP cấp phát IP, chức năng NPS điều khiển truy cập mạng và chức năng GPM quản lý chính sách nhóm Server giữ chức năng Remediation Server cũng là WSUS Server chứa các bản vá lỗi hệ điều hành và các phần mềm diệt virus, spyware với phiên bản mới nhất cho các Client trong mạng LAN PC của nhân viên đã join Domain Laptop của nhân viên chưa join Domain kết nối với mạng có dây LAN Laptop của nhân viên chưa join Domain kết nối với mạng không dây LAN Điểm truy cập không dây – Wireless Access Point vào mạng LAN Nguyên lý hoạt động 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 4/9 Nguyên lý hoạt động của hệ thống như sau: Đầu tiên các PC và Laptop tham gia hệ thống mạng LAN phải được bật tính năng cho phép Network Access Protection – NAP Các máy PC đã join Domain sẽ được bật NAP một cách tự động bằng cách sử dụng chính sách quản lý nhóm GPM Các Laptop chưa join Domain kết nối vào mạng LAN bằng dây hoặc wifi bật NAP bằng cách chạy một script nhận được từ quản trị viên Trên Server Domain Controller cài đặt hai role services DHCP được bật tính năng NAP để cấp phát địa chỉ IP NPS để điều khiển truy cập mạng Các Client khi kết nối vào mạng sẽ được kiểm tra tính năng NAP, kiểm tra độ an toàn theo các chính sách sức khỏe – Health Policies trên NPS. Tùy vào “sức khỏe” mà Client sẽ được NPS áp dụng các chính sách mạng – Network Policies khác nhau. Cụ thể: Client chưa bật NAP sẽ không nhận được địa chỉ IP và hoàn toàn cô lập với mạng LAN Client bật NAP nhưng không đạt chuẩn về sức khỏe sẽ nhận được địa chỉ IP với quyền truy cập bị giới hạn, chỉ được truy cập đến các Remediation Server để thực hiện cập nhật đầy đủ các yêu cầu về sức khỏe. Sau đó, Client mới được toàn quyền truy cập mạng LAN Client bật NAP và đầy đủ các tiêu chuẩn về sức khỏe sẽ nhận được địa chỉ IP với toàn quyền truy cập mạng LAN Các khái niệm cơ bản Trọng tâm là cài đặt và cấu hình Network Policy Server (NPS). Do đó, chúng ta sẽ tìm hiểu các khái niệm cơ bản trong NPS như sau: Chính sách - Policies Các chính sách yêu cầu kết nối - Connection Request Policies 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 5/9 Các chính sách yêu cầu kết nối là một tập các điều kiện (conditions) và thiết lập (settings) cho phép xác thực các yêu cầu kết nối nhận được từ các Client. Các chính sách mạng - Network Policies Các chính sách mạng là một tập các điều kiện (conditions), các ràng buộc (constraints) và thiết lập (settings) cho phép Client xác thực được quyền truy cập vào mạng ở một mức độ nào đó như: không được phép truy cập, được phép truy cập ở mức độ giới hạn, được toàn quyền truy cập mạng. Chính sách mạng thường đi kèm với chính sách sức khỏe. Dựa vào việc kiểm tra “sức khỏe” của các Client, chúng ta sẽ cấp phép quyền truy cập vào mạng LAN cho các Client.Trong NPS, có hai chính sách được kích hoạt một cách mặc định: Connections to Microsoft Routing and Remote Access Server Policy và Connections to Other Access Servers Policy. Chúng ta nên vô hiệu hóa các chính sách này trước khi thiết lập các chính sách mạng mới. Các chính sách sức khỏe - Health Policies Các chính sách sức khỏe bao gồm một hoặc nhiều các tiêu chuẩn sức khỏe hệ thống – SHA, các máy Client sẽ gửi đi các thông tin về trạng thái sức khỏe (Statement of Health - SoH) đến NPS. SoH là một bản báo cáo trạng thái của các Client và NPS sẽ so sánh nó với những yêu cầu trong chính sách sức khỏe. Nếu như trạng thái của Client không phù hợp với các yêu cầu về chính sách sức khỏe, NPS sẽ thực hiện các hành động được thiết lập sẵn như: Yêu cầu kết nối của Client sẽ bị từ chối Client được truy cập mạng nhưng ở vùng mạng restricted. Tại vùng mạng này, Client chỉ có thể liên lạc được với các Server thuộc nhóm Remediation Server để thực hiện cập nhật đầy đủ các tiêu chuẩn về sức khỏe trước khi được toàn quyền truy cập vào mạng Client sẽ được phép toàn quyền truy cập vào mạng mặc dù các tiêu chuẩn về chính sách sức khỏe chưa được đảm bảo 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 6/9 Bảo vệ truy cập mạng - Network Access Protection Các tiêu chuẩn sức khỏe hệ thống - System Health Validators (SHA) Các tiêu chuẩn sức khỏe hệ thống dùng để kiểm tra tình trạng của các máy Client có được kết nối mạng hay không. Các tiêu chuẩn sức khỏe gồm: [*=1]Bật Firewall [*=1]Cài đặt Antivirus và cập nhật Antivirus lên phiên bản mới nhất [*=1]Cài đặt phần mềm chống Spyware và cập nhật phần mềm chống Spyware lên phiên bản mới nhất [*=1]Bật tính năng update các bản vá lỗi [*=1]Cài đặt các bản vá lỗi về Security, mức độ các bản cập nhật Security, nơi cập nhật các bản vá lỗi: từ Internet hay từ WSUS Server Nhóm Server hỗ trợ - Remediation Server Groups Là nhóm các Server mà Client được phép truy cập khi chưa thỏa mãn các điều kiện trong chính sách sức khỏe. Khi đó, các Client chỉ có thể kết nối được với nhóm Server trong Remediations Server Groups để thực hiện việc cài đặt phần mềm diệt virus, spyware, cập nhật các bản vá từ WSUS Server 1. CÁC BƯỚC TRIỂN KHAI Cài đặt NPS trên Domain Controller Windows Server 2008 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 7/9 Quá trình cài đặt NPS gồm: cài đặt role services Network Policy Server (NPS)Các bước thực hiện như sau:VàoComputer > Manager, trong cửa sổ Server Manager, chuột phải Roles >Add Roles Tại cửa sổ Add Roles Wizard > Before You Begin, chọn Next cho đến cửa sổ Select Role Services 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 8/9 thanhtung0601, Aug 4, 2015 #1 Chọn Network Policy Server, sau đó chọn Next Chọn Install và chờ quá trình cài NPS 16/4/2019 [Lab] Triển khai NPS - Network Policy Server - Part 1 svuit.vn/threads/lab-trien-khai-nps-network-policy-server-part-1-964/ 9/9 CONTACT US  Hồ Chí Minh, Việt Nam  0903037911  svuit.vn@gmail.com  www.svuit.vn ABOUT US Diễn đàn svuit.vn, nơi chia sẽ kiến thức về Network, System. Cung cấp, tư vấn giải pháp công nghệ. Forum software by XenForo™ ©2010-2016 XenForo Ltd. XenForo Add-ons & XenForo Styles ™ © 2012-2016 Brivium LLC. Terms and Rules Contact Us Help (You must log in or sign up to reply here.) Share This Page Tweet Home Forums MICROSOFT TECHNOLOGY Network Infrastructure Lab-Server 2003, 2008     Like One person likes this. Sign Up to see what your friends like.