420 likes | 964 Views
Windows Server 2008 NAP 整合 802.1x 網路安全控管. 顧武雄 台灣微軟特約資深講師 jovi@cogate.com.tw. Windows Server 2008 NAP 課程. 預備知識. 使用過 Windows Server 2008 了解 Active Directory 架構. Level 200. 課程大綱. NAP for 802.1x 架構介紹 802.1x 設備組態配置 NAP for 802.1x 原則設定 NAP for 802.1x 用戶端設定 NAP for 802.1x 用戶端連線測試
E N D
Windows Server 2008NAP整合802.1x網路安全控管 顧武雄 台灣微軟特約資深講師 jovi@cogate.com.tw
預備知識 • 使用過Windows Server 2008 • 了解Active Directory架構 Level 200
課程大綱 • NAP for 802.1x架構介紹 • 802.1x設備組態配置 • NAP for 802.1x原則設定 • NAP for 802.1x用戶端設定 • NAP for 802.1x用戶端連線測試 • NAP運作監視與事件通知 • Q&A
三種802.1x網路保護法 • 將非法用戶端隔離至特定的VLAN • 網路設備必須支援動態VLAN • 使用IP篩選器進行有限資源存取控管 • 直接拒絕存取(連接埠由綠燈變橘燈) • 用戶端電腦需要重新拔插連接網路線
建構以VLAN的隔離法 • 必須在初始的VLAN中規劃DHCP服務 • VLAN1 :初始預設連線的VLAN ,可置放矯正伺服器 • VLAN2 :置放隔離用戶端的VLAN • VLAN3 :置放合法用戶端與網路資源的VLAN • 請透過ACLs將VLAN2與VLAN3設為無法相互存取 • 用戶端必須以DHCP方式連線網路
課程大綱 • NAP for 802.1x架構介紹 • 802.1x設備組態配置 • NAP for 802.1x原則設定 • NAP for 802.1x用戶端設定 • NAP for 802.1x用戶端連線測試 • NAP運作監視與事件通知 • Q&A
VLAN網路位址配置 • 以Cisco Catalyst 3560G為範例 • 使用Cisco Network Assistant介面設定 • 或IOS命令
啟用設備連接埠的AAA設定 • AAA= Authentication、Authorization、Accounting
設定RADIUS伺服器連線 • NPS主機=RADIUS伺服器 • 802.1x設備= RADIUS用戶端 • 設定方法 • radius-server host 192.168.2.1 auth-port 1812 acct-port 1813 key 1234
DHCP Relay設定 • 以ip helper-address命令指向位在VLAN1網路中的DHCP伺服器
變更Supplicant Timeout設定 • 預設supp-timeout=5秒 • 建議設定在15以上,避免NAP的健康狀態訊息(SoH),還來不及透過此交換器完成驗證動作就已經逾時,而導致經常無法成功連線的問題。
重新驗證間隔時間(選用) • 預設reauthentication功能=Disable • 使用dot1x reauthentication命令來啟用 • 啟用後預設時間=6分鐘 • 使用dot1x timeout reauth-period 秒數 • 請注意!每一次的重新驗證作業都會讓NPS主機上,產生新的合法驗證或非法驗證事件。
啟用Port Fast • 縮短預設需30秒進入連線狀態的問題
課程大綱 • NAP for 802.1x架構介紹 • 802.1x設備組態配置 • NAP for 802.1x原則設定 • NAP for 802.1x用戶端設定 • NAP for 802.1x用戶端連線測試 • NAP運作監視與事件通知 • Q&A
NPS健康原則設定 • 設定健康狀態檢驗程式
NAP for 802.1x原則配置(4/5) VLAN3 – 合法網路
NAP for 802.1x原則配置(5/5) • 回到了[RADIUS標準屬性]頁面,請切換到[特定廠商屬性]頁面。 VLAN2 : 隔離的網路 繼續設定!
課程大綱 • NAP for 802.1x架構介紹 • 802.1x設備組態配置 • NAP for 802.1x原則設定 • NAP for 802.1x用戶端設定 • NAP for 802.1x用戶端連線測試 • NAP運作監視與事件通知 • Q&A
NAP for 802.1x用戶端設定 • 可以群組原則統一配置 • 可以採手動設定每一部用戶端 • Windows XP SP3設定會比較複雜
群組原則設定NAP用戶端 • 啟用EAP隔離強制用戶端 • 啟用Wired AutoConfig服務(自動) • 啟用Network Access Protection Agent服務(自動) • 啟用資訊安全中心
設定用戶端有線區域網路 • 啟用IEEE802.1x驗證
關於Windows Vista的802.1x設定 • 使用Active Directory群組原則來統一配置 • 以命令工具語法netsh lan來設定802.1x的組態 • http://go.microsoft.com/fwlink/?LinkId=70195
課程大綱 • NAP for 802.1x架構介紹 • 802.1x設備組態配置 • NAP for 802.1x原則設定 • NAP for 802.1x用戶端設定 • NAP for 802.1x用戶端連線測試 • NAP運作監視與事件通知 • Q&A
查看動態VLAN狀態 VLAN2: 遭隔離的NAP用戶端 VLAN1 : NAP用戶端尚未連接到網路設備!
測試拒絕非法用戶端連線 修改不符合標準的原則設定! 已被NAP拒絕連線 的802.1x用戶端!
NAP事件檢視 隔離用戶端事件 合法用戶端事件 拒絕用戶端事件
隔離或拒絕事件Email通知 • 簡易作法 • 直接在NPS主機事件上附加Email通知工作 • IT無法第一時間掌握到是哪一部電腦無法連線 • 絕佳作法 • 整合System Center Operations Manager 2007 • 在這一些重要的用戶端電腦上安裝SCOM Agent • 當NAP隔離或拒絕事件發生時以IM或Email通知IT人員 • 優點 : 可讓IT立即掌握到哪一部電腦無法連線!
使用效能監視器 • NPS系統健康狀態驗證 • NPS遠端驗證伺服器 • NPS遠端帳戶處理伺服器 • NPS原則引擎 • NPS驗證伺服器 • NPS驗證Proxy • NPS驗證用戶端 • NPS帳戶處理伺服器 • NPS帳戶處理Proxy • NPS帳戶處理用戶端
更多參考資訊… • TechNet www.microsoft.com/taiwan/technet • TechNet 技術論壇 www.microsoft.com/taiwan/technet/forum • Windows Server 2008 www.microsoft.com/taiwan/windowsserver2008 • 顧大俠的Blog tw.myblog.yahoo.com/chivalrous_ku/