Nap windows server 2012 что это
Защита доступа к сети (NAP) - это платформа применения политик, встроенная в операционные системы Microsoft Windows Vista, Microsoft Windows XP и Windows Server с кодовым названием Longhorn, которая обеспечивает повышенную безопасность сети за счет соответствия требованиям по поддержанию работоспособности системы. Благодаря защите доступа к сети можно создавать специальные политики работоспособности для оценки состояния компьютера перед тем, как разрешить доступ или взаимодействие, для автоматического обновления соответствующих требованиям компьютеров с целью обеспечения их постоянной совместимости, а также для адаптации не соответствующих требованиям компьютеров таким образом, чтобы они удовлетворяли установленным требованиям.
Защита доступа к сети включает интерфейс прикладного программирования, который может быть использован разработчиками и поставщиками для создания полноценных решений по оценке с помощью политики работоспособности, ограничения доступа к сети и обеспечения постоянного соответствия требованиям.
Для оценки доступа к сети на основе работоспособности системы сетевая инфраструктура должна обеспечивать следующие функциональные области.
Оценка с помощью политики работоспособности. Определяет, соответствует ли компьютер требованиям политики работоспособности.
Ограничение доступа к сети. Ограничивает доступ для несовместимых компьютеров.
Автоматическое исправление. Обеспечивает необходимые обновления для приведения несовместимых компьютеров к установленным требованиям.
Обеспечение постоянного соответствия требованиям. Автоматическое обновление не соответствующих требованиям компьютеров с учетом постоянно изменяющихся требований политики работоспособности.
Сценарии защиты доступа к сети (NAP)
Представляя собой наиболее гибкое для заказчиков решение, защита доступа к сети взаимодействует с ПО поставщика, которое либо содержит агент System Health Agent (SHA) и средства оценки работоспособности системы System Health Validators (SHV), либо распознает опубликованный набор интерфейсов программирования. В качестве примеров решений сторонних поставщиков, которые работают с защитой доступа к сети, можно назвать антивирусную программу, виртуальную частную сеть или сетевое оборудование. Защита доступа к сети предоставляет решение для следующих распространенных сценариев.
Проверка работоспособности и состояния мобильных переносных компьютеров
С помощью защиты доступа к сети сетевые администраторы могут проверять состояние любого переносного компьютера, когда он повторно подключается к сети компании, без ущерба для его мобильности и гибкости.
Поддержание работоспособности настольных компьютеров
Благодаря дополнительному управляющему ПО можно создавать автоматические отчеты, выполнять автоматическое обновление компьютеров, не соответствующих требованиям, а в случае изменения администраторами политик работоспособности компьютеры могут автоматически получать последние обновления, которые предотвращают угрозы их работоспособности со стороны общедоступных ресурсов.
Определение состояния переносных компьютеров, получающих доступ в сеть
Благодаря защите доступа к сети администраторы могут определить, имеют ли посещающие ее переносные компьютеры полномочия на доступ и, если нет, лимитировать их доступ к ограниченной сети, не требуя обновления или изменения конфигурации этих переносных компьютеров.
Проверка соответствия требованиям и работоспособности неуправляемых домашних компьютеров
С помощью защиты доступа к сети сетевые администраторы могут проверять наличие необходимых программ, параметров реестра, файлов или их сочетания всякий раз, когда домашний компьютер подключается к сети через виртуальную частную сеть; также они могут лимитировать подключение к ограниченной сети, пока не будут выполнены требования к работоспособности системы.
Компоненты защиты доступа к сети
NPS/RADIUS
В компоненте RADIUS Network Policy Server (NPS) сервера Windows Server Longhorn отсутствует компонент защиты доступа к сети (NAP) Enforcement Server (ES) или Enforcement Client (EC). Вместо этого он работает как сервер политик вместе с компонентами NAP ES и NAP EC. Администраторы должны задать требования к работоспособности системы в виде политик на сервере NPS. Серверы NPS обеспечивают проверку с помощью политик работоспособности и координируют свои действия со службой каталогов Active Directory каждый раз, когда компьютер пытается получить сертификат работоспособности или подключиться к точке доступа 802.1X, серверу виртуальной частной сети или службе DHCP-сервера.
Компоненты работоспособности
Агенты работоспособности системы System Health Agents (SHA). Подтверждение работоспособности (состояние исправлений, сигнатуры вирусов, конфигурация системы и т. п.).
Средства оценки работоспособности системы System Health Validators (SHV). Сертификация выводов агентов работоспособности.
Серверы работоспособности системы System Health Servers. Определение требований к работоспособности системных компонентов клиента.
Серверы исправления Remediation Servers. Установка необходимых исправлений, параметров конфигурации и приложений, а также обеспечение работоспособности клиентов.
Компоненты ограничения
Клиент Enforcement Client (EC). Согласует условия доступа с устройствами доступа к сети.
Устройство сетевого доступа. Обеспечивает сетевой доступ к работоспособным конечным точкам (это может быть коммутатор или точка доступа).
Служба сертификации работоспособности. Выпускает сертификаты для клиентов, которые прошли проверку работоспособности.
Компоненты платформы
Агент изоляции Quarantine Agent (QA). Создает отчеты о состоянии работоспособности клиентов и координирует действия SHA и EC.
Сервер изоляции Quarantine Server (QS). Ограничивает доступ клиентов к сети на основе сертификатов SHV.
Механизмы применения защиты доступа к сети
Защита доступа к сети обеспечивает гибкую платформу, которая поддерживает несколько механизмов применения доступа, включая, но не ограничиваясь только ими:
протокол IPsec для проверки подлинности на уровне узла;
проверенные сетевые подключения на основе стандарта IEEE 802.1X;
виртуальные частные сети для удаленного доступа;
Администраторы могут использовать эти технологии по отдельности или одновременно для ограничения не соответствующих требованиям компьютеров. Сервер NPS, заменивший службу проверки подлинности Windows Server 2003 в Windows Server Longhorn, действует как сервер политик работоспособности для всех этих технологий.
Защита доступа к сети требует, чтобы на серверах выполнялась ОС Windows Server Longhorn, а на клиентах - Windows Vista, Windows XP с пакетом обновления 2 (SP2) или Windows Server Longhorn.
IPsec Enforcement
IPsec Enforcement включает сервер сертификатов работоспособности и IPsec NAP EC. Сервер сертификатов работоспособности выпускает сертификаты X.509 для изоляции клиентов, после того как определено их соответствие требованиям. Эти сертификаты затем используются для проверки подлинности клиентов NAP, когда они инициируют защищенные протоколом IPsec взаимодействия с другими клиентами NAP в интранет.
IPsec Enforcement ограничивает взаимодействие сети только теми узлами, которые считаются соответствующими требованиям, и, поскольку здесь применяется протокол IPsec, можно задать требования к безопасным взаимодействиям с соответствующими требованиям клиентами на основе IP-адреса или номера порта TCP/UDP. IPsec Enforcement осуществляет взаимодействие только с совместимыми компьютерами, после того как они получили допустимую конфигурацию IP-адреса. IPsec Enforcement - самая строгая форма ограничения доступа к сети платформы защиты доступа к сети (NAP).
802.1X Enforcement
802.1X Enforcement включает сервер NPS и компонент EAPHost NAP EC. С помощью 802.1X Enforcement сервер NPS отдает команду точке доступа 802.1X (коммутатору Ethernet или точке беспроводного доступа) разместить профиль ограниченного доступа на клиент 802.1X, пока он выполняет ряд функций по исправлению. Профиль ограниченного доступа может состоять из набора IP-фильтров или идентификатора виртуальной локальной сети для ограничения трафика клиента 802.1X. 802.1X Enforcement обеспечивает очень ограниченный доступ к сети для всех компьютеров, получающих доступ через подключение по стандарту 802.1X.
VPN Enforcement
VPN Enforcement включает компоненты VPN NAP ES и VPN NAP EC. С помощью VPN Enforcement серверы виртуальных частных сетей могут применять требования политики работоспособности каждый раз, когда компьютер пытается подключиться к сети через виртуальную частную сеть. VPN Enforcement обеспечивает очень ограниченный доступ для всех компьютеров, получающих доступ через подключение по виртуальной частной сети.
DHCP Enforcement
DHCP Enforcement включает компоненты DHCP NAP ES и DHCP NAP EC. С помощью DHCP Enforcement DHCP-серверы могут применять требования политики работоспособности каждый раз, когда компьютер пытается арендовать или обновить конфигурацию IP-адреса в сети. DHCP Enforcement - самый простой способ развертывания, потому что все клиентские компьютеры DHCP должны арендовать IP-адреса. Поскольку DHCP Enforcement использует записи в таблице маршрутизации, эта форма ограниченного доступа к сети платформы защиты доступа к сети является самой слабой.
Дополнительные компоненты и ресурсы защиты доступа к сети
Защита доступа к сети состоит из дополнительных серверных и клиентских компонентов, серверов исправления и серверов политик. Администраторы могут настроить некоторые или все перечисленные ниже компоненты при развертывании защиты доступа к сети. Сервер NAP Administration Server
NAP Administration Server - это компонент сервера NPS, который координирует данные, полученные от всех средств оценки работоспособности системы (SHV), и определяет, должны ли компоненты NAP Enforcement Server (NAP ES) ограничивать доступ клиентов на основе требований политики работоспособности.
Средство System Health Validator
Средство System Health Validator (SHV) - это серверное ПО, которое проверяет, соответствует ли заявление о работоспособности Statement of Health (SoH), представленное агентом SHA, требуемому состоянию работоспособности. SHV выполняется на сервере NPS, который должен координировать выходные данные всех средств оценки работоспособности SHV. Средство оценки работоспособности использует ответ на заявление о работоспособности Statement of Health Response (SoHR), чтобы указать на соответствие или несоответствие требуемому состоянию работоспособности и дать команды по исправлению.
Политика работоспособности
Политика работоспособности указывает необходимые условия для неограниченного доступа. Политики работоспособности настраиваются на сервере NPS. В сети может применяться несколько политик работоспособности. Например, VPN Enforcement и DHCP Enforcement могут использовать разные политики.
База данных учетных записей
В базе данных учетных записей сохраняются учетные данные пользователей и компьютеров и их свойства сетевого доступа. В доменах Windows Server Longhorn роль базы данных учетных записей выполняет Active Directory.
Сервер сертификации работоспособности Health Certificate Server
Сервер сертификации работоспособности представляет собой сочетание службы сертификации работоспособности, компьютера под управлением Windows Server Longhorn, служб IIS и службы сертификации (CA). Служба сертификации может быть установлена на компьютер под управлением Windows Server Longhorn или на отдельный компьютер. Сервер сертификации работоспособности получает сертификаты работоспособности для компьютеров, соответствующих требованиям. Сертификат работоспособности может быть использован вместо заявлений о работоспособности Statements of Health (SoHs), чтобы доказать соответствие клиента требованиям к работоспособности системы.
Сервер исправления
Сервер исправления состоит из серверов, служб и других ресурсов, к которым может получить доступ в ограниченной сети не соответствующий требованиям компьютер. Эти ресурсы могут выполнять разрешение имен или сохранять самые последние обновления ПО и компоненты, необходимые, чтобы привести компьютер в соответствие с требованиями к работоспособности. Например, серверами исправления могут быть дополнительный DNS-сервер, файловый сервер антивирусных продуктов или сервер обновления ПО. SHA может взаимодействовать с сервером исправления напрямую или с помощью средств установленного клиентского ПО.
Сервер политик
SHV взаимодействует с сервером политик для оценки заявления о работоспособности SoH соответствующего агента SHA.
Дополнительные ресурсы
Посетите веб-узел Network Access Protection TechNet (EN) для загрузки документации и пошаговых инструкций, а также для просмотра веб-презентаций.
Introduction to Network Access Protection (Введение в защиту доступа к сети) (EN)
Ознакомьтесь с этим документом, содержащим обзор сценариев и компонентов защиты доступа (NAP), а также краткий обзор работы NAP при подключениях по протоколу IPsec, проверенных подключениях по стандарту 802.1X, подключениях по виртуальной частной сети и конфигурации DHCP. Просмотрите веб-презентацию этого документа (EN).
В ИТ проблема уязвимости сети из-за подключения к ней сомнительных компьютеров давно перешла в разряд насущных. В связи с этим активно изучаются решения, способные физически укрепить политики безопасности компании. Управление сетевым доступом (NAC) было создано как раз для этих целей. NAC предоставляет платформу для разработки служб и функций, способных опросить компьютер перед подключением к безопасной внутренней сети и проверить его на соответствие заданным требованиям по надежности и безопасности.
Корпорация Microsoft представила свою версию управления сетевым доступом посредством NAP , которая предоставляет службу проверки соответствия требованиям по работоспособности перед доступом в сеть. В состав NAP входят службы, компоненты и интерфейс программирования приложений (API), позволяющие гарантировать работоспособность серверов и сетей под управлением Windows Server 2012, а также клиентов под управлением Windows 8 и Windpws 7.
Защита доступа к сети ( Network Access Protection, NAP ) — это платформа для проверки работоспособности компьютерных систем перед их допуском в защищенные сети. Она позволяет гарантировать, что перед каждой попыткой установить новое подключение к частной сети компьютер проходит «проверку».
До появления NAP типичное подключение внешнего компьютера происходило путем создания клиентского подключения через общедоступную сеть, например Интернет, с использованием VPN-подключения.
Подключение клиента сначала проходило через брандмауэр или пересылалось прокси с применением соответствующих портов, требуемых установленным протоколом безопасности. Далее служба проверки подлинности проверяла учетные данные клиента удаленного доступа.
В случае успешной проверки подлинности учетных данных клиент подключался к той части безопасной сети, для которой ранее было установлено подключение.
В таком сценарии есть серьезный изъян. Могут ли возникнуть проблемы, если клиент удаленного доступа, является тем, за кого он себя выдает, предоставляет все необходимые учетные данные, а в частной сети выполняет только разрешенные задачи?
Да. Но допустим, что клиент удаленного доступа выполняет нестандартные запросы служб, операции по обнаружению или исследованию или — того хуже — установку злонамеренного ПО без ведома пользователей компьютера, на котором есть подключение удаленною доступа. Это и послужило одной из главных причин для реализации решения NAP .
NAP снижает вероятность занесения в безопасную сеть вирусов мною путешествующими сотрудниками или гостями. Стандартный поток информации от компьютера, подключающегося к сети, модифицируется и проходит через сен» периметра, где им занимаются компоненты платформы NAP . Сама платформа теперь включает целую экосистему NAP, а при запросе на подключение внешнего клиента он теперь именуется «NAP-клиентом».
В сети периметра остаются те же службы безопасности и устройства, что и раньше. Однако запрос на доступ NAP-клиента идет в обход для определения статуса работоспособности компонентами NAP. На рисунке ниже представлены различия между традиционным подключением удаленного доступа и подключением с использованием платформы NAP.
На рисунке показаны не только компоненты NAP, включенные в поток передачи информации, но и то, что доступ NAP-клиента может быть ограничен внешней сетью, которая получает название карантинной и где дополнительные серверы обновляют клиента, приводя его в соответствие с требованиями к работоспособности.
Полное решение NAP состоит из трех отдельных функций:
- проверка состояния работоспособности
- обеспечение соответствия политики работоспособности;
- ограничение доступа.
Проверка состояния работоспособности.
Проверка состояния работоспособности — это процесс проверки работоспособности компьютера и определение его совместимости. Если платформа NAP настроена на работу с карантинной сетью, доступ не соответствующего требованиям компьютера ограничивается только подсетью карантинной сети, пока тот не будет приведен в соответствие.
Если на начальной стадии платформа NAP реализована только в виде ведения журнала на предмет несоответствий требованиям, степень соответствие компьютера требования по работоспособности записывается в журнал, и ему разрешается продолжить подключение в обычном режиме.
Соответствие политики работоспособности.
В целях отслеживания и, возможно, принудительного применения требований к работоспособности администраторы создают политики работоспособности. Политика работоспособности является основой решения NAP. Политики работоспособности в числе многих других факторов соответствия устанавливают уровень обновлений ПО. сборки ОС. проверки на вирусы и включенные параметры брандмауэра.
Ограничение доступа в сеть.
Компания Microsoft разработала технологию NAP (Network Access Protection), которая представлена в серверной операционной системе Windows Server 2008. Данная технология предназначена для блокирования/постановки в карантин компьютеров, не соответствующих политикам, принятым в локальной сети. Таким образом обеспечивается защита локальной сети.
Технология NAP предлагает различные варианты реализации: выдача IP-адресов из различных диапазонов для «хороших» и «плохих» компьютеров; установление соединения IPSec с «хорошими» компьютерами, в то время как «плохим» компьютерам в соединении будет отказано. И самый интересный и наиболее правильный для использования в локальной сети вариант — авторизация сетевых устройств по протоколу IEEE 802.1x на коммутаторах локальной сети. Далее я расскажу, как настроить роль Network Policy Server в Windows Server 2008, а также сетевые коммутаторы для реализации NAP в сети.
Для изучения и демонстрации технологии NAP у нас в компании был собран стенд «Поликом Про», состав оборудования которого был максимально приближен к реальным условиям. В нашей лабораторной сети установлен L3-коммутатор Cisco Catalyst 3550 и L2-коммутаторы Cisco Catalyst 2950. Данные модели наиболее распространены в сетях российских предприятий. Схема собранного стенда показана на рисунке.
Как мы видим, в качестве контроллера домена используется компьютер под управлением Windows Server 2003, центр сертификации также развернут на компьютере под управлением Windows Server 2003. На компьютере под Windows Server 2008 развернута только одна роль — Network Policy Server, которая необходима для реализации технологии NAP. Такая конфигурация стенда была выбрана специально, чтобы показать, что для использования технологии NAP администраторам не придется перестраивать всю существующую инфраструктуру, а при желании достаточно лишь добавить один сервер под управлением Windows Server 2008, и можно использовать новые технологии, реализованные в новой серверной операционной системе. В качестве клиентов использовались компьютеры под управлением Windows Vista и Windows XP SP2 плюс специальный программный модуль или Windows XP SP3.
Итак, я описал собранный стенд, теперь расскажу о том, как все это будет работать. Как сказано выше, у нас есть два коммутатора и клиентский компьютер под управлением Windows Vista. Сетевые политики нашей сети требуют, чтобы на клиентском компьютере на всех сетевых интерфейсах был включен брандмауэр Windows. Изначально на нашем компьютере-клиенте брандмауэр включен. Подключим наш компьютер по сети к коммутатору 2950, и, так как наш компьютер соответствует политикам сети (брандмауэр включен), получим полный доступ к ресурсам локальной сети. Если во время работы брандмауэр выключен, то доступ к сети будет немедленно заблокирован. Давайте теперь переключимся на коммутатор 3550. Пусть брандмауэр на нашем компьютере будет выключен. После подключения к сети мы получили доступ в сеть, однако коммутатор перенаправил порт, к которому мы подключились, в карантинную сеть, не имеющую доступа к основной сети. После того как мы включим брандмауэр и наш компьютер будет соответствовать политикам сети, коммутатор перенаправит нас в основную сеть. Данная несложная демонстрация показывает, как можно защитить локальную сеть на самом первом этапе подключения к сети.
Предварительная настройка Windows Server 2008
На рисунке мы видим, что у нас есть сервер с именем DC, который работает под управлением операционной системы Windows Server 2003. Данный сервер является контроллером домена nap.demo. Также на данном сервере развернут центр сертификации Microsoft Certification Authority. Никаких других настроек не производилось.
Второй сервер, NPS, работает под управлением операционной системы Windows Server 2008. Этот сервер входит в домен nap.demo, т. е. является членом домена. Первое, что необходимо сделать при его настройке, это запросить сертификат компьютера для данного сервера. Для этого открываем консоль mmc, в меню File выбираем Add/Remove Snap-in, в появившемся окне из списка предложенных оснасток выбираем оснастку Certificates, далее нажимаем кнопку Add, в следующем окне Certificates snap-in выбираем пункт Computer Account и нажимаем Next. В новом окне выбираем пункт Local computer (the computer this console is running on) и нажимаем кнопку Finish. В окне удаления/добавления оснасток нажимаем Ok.
Чтобы удостовериться, что теперь на нашем компьютере есть сертификат, открываем Certificates(Local Computer), Personal, Certificates и видим в правой панели экрана выданный нам сертификат.
Следующим шагом будет установка роли Network Policy Server. Для этого необходимо открыть Server Manager, в разделе Roles Summary выбрать пункт Add Roles и далее в окне Before You Begin нажать Next. Из списка предложенных ролей выбираем роль Network Policy and Access Services и опять нажимаем Next. В окне Network Policy and Access Services нажимаем Next. Далее, в окне Role Services следует выбрать пункт Network Policy Server и щелкнуть Next. Для запуска установки роли нажимаем кнопку Install и после завершения установки — Close.
Настройка Network Policy Server
Все предварительные действия выполнены, теперь можно приступать к настройке самого Network Policy Server. Для этого открываем Start, Programs, Administrative Tools, Network Policy Server.
Подключение — по запросу
Теперь необходимо создать политики запроса подключения, для чего переходим в раздел Policies и, щелкнув правой кнопкой мыши на пункте Connection Request Policies, из контекстного меню выбираем New. В открывшемся окне вводим имя политики — Request Policy for 2950 и нажимаем Next. В окне Specify Conditions нажимаем кнопку Add, и в разделе RADIUS Client выбираем пункт Client IPv4 Address. Нажимаем Add и в появившемся окне вводим адрес коммутатора 192.168.200.10, после чего нажимаем Ok.
Далее нажимаем Next до тех пор, пока не появится окно Specify Authentication Methods. В этом окне устанавливаем флажок Override network policy authentication settings, нажимаем кнопку Add и из появившегося списка выбираем пункт Microsoft: Protected EAP (PEAP). В окне Specify Authentication Methods нужно указать только что добавленный метод аутентификации, нажать кнопку Edit и в окне Configure Protected EAP Properties убедиться, что в Certificate issued отображается сертификат нашего компьютера NPS.nap.demo. После этого нажимаем Ok, затем дважды Next, и в окне Completing Connection Request Policy Wizard нажимаем кнопку Finish (см. экран 1).
Создаем аналогичную политику для Cisco Catalyst 3550. При создании указываем имя политики Request Policy for 3550 и в окне Specify Conditions при указании IP-адреса клиента RADIUS вводим 192.168.200.20. Остальные действия аналогичны созданию политики для Cisco Catalyst 2950.
В итоге получаем две политики Connection Request Policies.
Проверка статуса
Следующий шаг — настройка проверки состояния компьютера для определения его статуса. Сначала укажем, какие параметры должны проверяться на компьютере, — открываем контейнер Network Access Protection и выбираем System Health Validators. В панели справа выбираем Windows Security Health Validator, щелкаем на нем правой кнопкой мыши и в контекстном меню выбираем пункт Properties. В открывшемся окне нажимаем кнопку Configure. Так как на нашем стенде клиентский компьютер работает под управлением операционной системы Windows Vista, на вкладке Windows Vista выбираем те параметры, которые нам необходимы. В нашем случае для стенда мы оставим включенной только проверку состояния брандмауэра. Проверку остальных параметров проводить не будем.
Теперь необходимо создать политики проверки состояния компьютеров, которые описывают, какой компьютер и с какими параметрами считать соответствующим политикам сети, а какой — нет. Для этого перейдем в контейнер Policies и, щелкнув правой кнопкой мыши на пункте Health Policies, из контекстного меню выберем пункт New.
В окне Create New Health Policy заполняем поле Policy Name — Compliant, убеждаемся, что в поле Client SHV Checks установлен переключатель Client passes all SHV checks, и ниже устанавливаем флажок напротив Windows Security Health Validator, после чего нажимаем Ok.
Аналогичным образом создаем политику для определения компьютеров, которые не соответствуют требованиям сети. Для Client SHV Checks выбираем значение Client fails one or more SHV checks.
Политики сети
Остался последний шаг — настройка сетевых политик. На пункте Network Policies щелкаем правой кнопкой мыши и из контекстного меню выбираем пункт New. В окне Specify Network Policy Name and Connection Type указываем имя политики Full Access for 2950 и нажимаем Next. В окне Specify Conditions нажимаем кнопку Add. Из открывшегося списка выбираем пункт Health Policies из раздела Network Access. Нажимаем кнопку Add, в появившемся окне выбираем из списка значение Compliant и нажимаем Ok.
В окне Specify Conditions опять нажимаем кнопку Add. Из появившегося списка следует выбрать пункт Client IPv4 Address из раздела RADIUS Client и нажать Add. В поле запроса IP-адреса вводим значение 192.168.200.10 и нажимаем Ok. Далее в окне Specify Conditions нажимаем Next. В следующем окне Specify Access Permission выбираем пункт Access granted и нажимаем Next до тех пор, пока не увидим окно Configure Settings (см. экран 2).
В левой части окна в разделе RADIUS Attributes выбираем пункт Standard, затем в рабочей области справа нажимаем кнопку Add и из списка параметров выбираем Termination-Action, после чего нажимаем кнопку Add. В окне Attribute Information в поле Attribute Value указываем значение RADIUS-Request и затем нажимаем Ok.
Таким же образом добавляем параметр Tunnel-Medium-Type со значением параметра 802 (includes all 802 media plus Ethernet canonical format). Затем закрываем окно Add Standard RADIUS Attribute.
В окне Configure Settings в левой части окна нужно выбрать пункт NAP Enforcement из раздела Network Access Protection. В правой части окна выбираем пункт Allow full network access и нажимаем Next.
В окне Completing New Network Policy нажимаем Finish. Все, сетевая политики для доступа «правильных» компьютеров создана.
Теперь создадим политику ограниченного доступа, для компьютеров, не соответствующих политикам сети. Для этого нужно щелкнуть правой кнопкой мыши на только что созданной политике и из контекстного меню выбрать пункт Duplicate Policy. На сдублированной политике Copy Of Full Access for 2950 щелкаем правой кнопкой мыши и из контекстного меню выбираем свойства. В открывшемся окне следует заменить значения полей Policy name на значение Limited Access for 2950, затем установить флажок Policy enabled, а в разделе Access Permission выбрать значение Deny Access. Переходим на вкладку Conditions. Выбираем пункт Health Policy и нажимаем кнопку Edit. В открывшемся окне меняем значение поля Health Policies на NonCompliant, нажимаем Ok и затем нажимаем кнопку Apply. Правила для Cisco Catalyst 2950 созданы: первое правило разрешает коммутатору открывать доступ компьютера в сеть, если у него включен брандмауэр. Второе правило предписывает коммутатору заблокировать порт, к которому подключен компьютер, если на нем брандмауэр выключен.
По аналогии создаем правила для Cisco Catalyst 3550. Для ускорения создания правил будем использовать правила, определенные на предыдущих этапах. Выбираем правило Full Access for 2950, щелкаем на нем правой кнопкой мыши и из контекстного меню выбираем Duplicate Policy. Открываем свойства вновь созданного правила и исправляем значения параметров следующим образом: в поле Policy name вводим Full Access for 3550, устанавливаем флажок Policy enabled. Переходим на вкладку Conditions, выбираем пункт Client IPv4 Address, нажимаем кнопку Edit и вводим IP-адрес 192.168.200.20. Переходим на вкладку Settings, в панели справа нажимаем кнопку Add и добавляем следующие параметры: Tunnel-Pvt-Group-ID со значением Healthy и Tunnel-Type со значением Viltual LANs (VLAN). Нажимаем Ok.
Повторяя шаги, необходимые для задания политик для 2950, создаем копию правила Full Access for 3550. Открываем свойства вновь созданного правила и редактируем следующим образом: в Policy name вводим Limited Access for 3550, устанавливаем флажок Policy enabled, переходим на вкладку Conditions, выбираем пункт Health Policy и изменяем значение этого параметра на NonCompliant. Далее переходим на вкладку Settings, в рабочей области экрана в разделе Attributes изменяем значение параметра Tunnel-Pvt-Group-ID на Quarantine и нажимаем Ok. Результат представлен на экране 3. На этом настройка Network Policy Server завершена.
Финал — настройка оборудования Cisco
Теперь приступим к настройке оборудования Cisco. Список необходимых команд приведен в листинге, я лишь вкратце поясню последовательность действий. Через терминальный кабель следует подключиться к Cisco Catalyst 2950 и для начала изменить имя коммутатора, чтобы потом не запутаться, поскольку предстоит повторить такую же последовательность для модели 3550. Далее настраиваем аутентификацию и авторизацию через службу RADIUS: прежде всего, задаем настройки сервера RADIUS; он должен быть доступен через первый порт коммутатора. Далее настраиваем параметры Default VLAN (Vlan 1). Следующий шаг — настроить порты коммутатора, к которым будут подключаться клиенты. Порт 9 в листинге выбран для примера, аналогичная настройка должна выполняться для всех портов, к которым будут подключаться клиенты. На последнем шаге останется только сохранить конфигурацию.
Настройки Cisco Catalyst 3550 аналогичны настройке Cisco Catalyst 2950, только в качестве клиентского порта на нашем стенде был настроен 13-й порт коммутатора.
802.1x является стандартом авторизации и аутентификации пользователей и компьютеров в сети передачи данных. Данный стандарт позволяет очень просто назначать разным клиентам нужные VLAN-ы, а так же предотвратить доступ к сети неизвестным системе устройствам.
Для успешной работы данного стандарта в корпоративной среде под управлением операционной системы Windows требуется настроенные:
1. Домен-контроллер;
2. Сервер центра сертификации;
3. Сервер политики сети.
Выдача сертификата центром сертификации.
Для того чтобы Cisco без проблем работала с клиентами требуется сертификат созданный на основе RAS и IAS серверы.
Данный шаблон необходимо скопировать и дать при этом ему свое уникальное имя.
После копирования шаблона необходимо указать совместимость, а так же в разделе Безопасность добавить группу Серверы RAS и IAS и внести разрешения на Заявку и Автоматическую подачу заявок .
После того как сертификат скопирован нужно перезапустить сервер политики сети. В разделе Выданные сертификаты должен появиться сертификат с именем вашего скопированного шаблона сертификата, выданный вашему NAP серверу.
Настройка NAP.
Добавление клиентов
Для работы коммутатора с NAP сервером в первую очередь надо добавить RADIUS-клиенты в одноимённом пункте настройки NAP введя понятное имя, ip-адрес, секрет , а так же в разделе дополнительно необходимо выбрать в поле имя поставщика поставщика Cisco . Поставить галочку на против пункта RADIUS-клиент поддерживает защиту доступа к сети .
Создание политики запросов на подключение
В разделе Политики, в подразделе политики запросов на подключение необходимо создать политику. В данной политике необходимо указать ее имя, а так же добавить условие Тип порта NAS со значением Ethernet .
Создание сетевой политики
Если нам необходимо переводить пользователя в другой VLAN при входе в ОС то нам необходимо создать специальную группу в домене. Эта группа будет указана в условиях на подключение.
При создании сетевой политики указываем ее имя. Добавляем два условия:
Группа пользователей - указываем группу в которой будут пользователи, которым развешен доступ к данному VLAN;
Типа порта NAS - Ethernet.
На вкладке Ограничения необходимо указать тип проверки пользователей - нам необходимо указать:
Microsoft: защищённый пароль (EAP-MSCHAP v2)
Microsoft: защищённый EAP (PEAP)
Так же в пункте Менее безопасные методы проверки подлинности отмечаем:
Шифрованная проверка подлинности (Microsoft), версия 2, (MS-CHAP-v2)
Разрешить смену пароля по истечении срока действия
Шифрованная проверка подлинности Майкрософт (MS-CHAP)
Разрешить смену пароля по истечении срока действия
На вкладке Параметры , в разделе Атрибуты RADIUS - Стандарт добавим несколько атрибутов:
Tunnel-Medium-Type = 802 (includes all 802 media plus Ethernet canonical format)
Tunnel-Pvt-Group-ID = номер VLAN в который вы хотите переключать клиента
Tunnel-Type = Virtual LANs (VLAN)
После создания политик перезапустите NAP.
Настройка коммутатора Cisco
Коммутатор должен иметь первоначальную простую настройку, а так же должен знать VLAN-ы, которые будут указываться в настройке.
Настройка RADIUS серверов
Первым делом необходимо применить команду:
aaa new-model
dot1x system-auth-control
dot1x guest-vlan supplicant
Далее создаём группу серверов RADIUS отвечающих за 802.1x
aaa group server radius DOT1X
server-private IP-адрес NAP-Сервера auth-port 1812 acct-port 1813 key секрет созданный RADIUS-Клиенту на NAP сервере
ip radius source-interface Loopback0
Настраиваем авторизацию через созданные группы NAP серверов
aaa authentication dot1x default group DOT1X
aaa authorization network default group DOT1X
802.1X Port-Based Network Authentication
Настройка портов на примере GigabitEthernet1/1:
interface GigabitEthernet1/1
switchport mode access
Указываем VLAN в который помещаются клиенты не прошедшие авторизацию:
authentication event fail action authorize vlan 'номер-vlan'
Указываем VLAN в который помещаются клиенты если NAP сервер не работает:
authentication event server dead action authorize vlan 'номер-vlan'
Указываем VLAN в который помещаются клиенты если не отвечают:
authentication event no-response action authorize vlan 'номер-vlan'
authentication priority dot1x mab
Активируем функцию Mac-address bypass:
Настройка таймеров и переавторизации:
authentication port-control auto
authentication periodic
authentication timer reauthenticate 600
dot1x pae authenticator
dot1x timeout quiet-period 10
dot1x timeout server-timeout 5
dot1x timeout tx-period 5
Включим защиту от петель:
Настройка клиентского ПК под управлением Windows 7
Первым делом необходимо запустить службу Проводная автонастройка а так же назначить ей автоматический тип запуска.
После в свойствах сетевого адаптера появится Проверка подлинности.
В вкладке включаем проверку подлинности IEEE 802.1X , в параметрах отключаем проверку сертификата , включаем быстрое переключение .
В пункте Дополнительные параметры необходимо активировать пункт Указать режим проверки подлинности учётными записями пользователей , активируем Включить единую регистрацию для сети , выбрать вариант Выполнять непосредственно перед входом пользователя .
Важно: пользователь, которому разрешено подключаться в VLAN, должен выйти со всех устройств для того чтобы домен-контроллер обновил ему SID. В противном случае может получиться так, что коммутатор не сможет найти указанного пользователя в указанной группе пользователей, а следовательно он не авторизуется и не попадет в нужный VLAN.
Настройка ПК через AD
Чтобы включить необходимые настройки на ПК через групповую политику необходимо создать новую политику сети и применять ее на группу компьютеров в AD.
Включаем службу проводной автонастройки с автоматическим запуском:
Настраиваем проверку подлинности:
Данная политика применяется при включении ПК и если порт коммутатора не настроен на dot1x то не препятствует подключению к сети.
Доброго времени суток.
Есть возможность при включении глобального Радиус на цыске, логинится по ССш и консоль по локальной базе. Спасибо
Доброго времени суток.
Есть возможность при включении глобального Радиус на цыске, логинится по ССш и консоль по локальной базе. Спасибо
Читайте также: