Làng Công nghệ Tổng hợp

Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - Phần 1

Network Access Protection là một công nghệ mới có trong Windows Server 2008, cho phép bạn có thể điều khiển những máy tính nào được phép kết nối với các máy tính khác trong mạng của mình. Network Access Protection (hoặc NAP) cho phép bạn thiết lập các chính sách “sức khỏe” mà các máy tính trong mạng phải có đủ các yếu tố này trước khi được phép truy cập mạng. Các máy tính có đầy đủ các yêu cầu cần thiết đối với chính sách truy cập mạng sẽ được phép truy cập vào mạng. Còn trong trường hợp khác, máy tính có thể không hoặc bạn có thể cấu hình các chính sách để cho phép máy tính kết nối với máy chủ “điều đình lại” nhằm cho phép máy tính tính đó có thể dàn xếp và cố gắng kết nối trở lại mạng sau khi “sự điều đình” thành công.

Có nhiều cách bạn có thể thi hành một chính sách NAP. Cách đơn giản nhất là sử dụng NAP với sự thi hành DHCP. Tuy nhiên, phương pháp này cũng là một phương pháp kém an toàn nhất vì người dùng có thể cấu hình một cách thủ công địa chỉ IP trên máy tính và vòng tránh được chính sách thực thi DHCP của NAP. Phương pháp an toàn nhất cho sự thi hành NAP chính là IPsec. Khi sử dụng thực thi IPsec NAP và đồng thuận với chính sách truy cập NAP thì máy tính sẽ được cấp phát một chứng chỉ sức khỏe để cho phép tạo một kết nối IPsec an toàn với các máy tính khác trên mạng “ảo” NAP. Tuy nhiên, NAP với thực thi IPsec lại là một cấu hình phức tạp nhất trong các phương pháp.

Bản thân NAP cũng là một công nghệ khá phức tạp với hàng trăm thành phần. Khi sử dụng NAP với thực thi IPsec, bạn sẽ thấy có nhiều phần và việc khắc phục sự cố trở nên đơn giản hơn rất nhiều. Cũng có một sự phụ thuộc đối với Group Policy, điều đó làm tăng sự phức tạp của giải pháp, nguyên nhân gây ra điều đó là bạn thường cần phải khắc phục các vấn đề với Group Policy khi triển khai NAP.

Tất cả các khó khăn và thách thức ở trên không khiến chúng ta nản chí mà ý chúng tôi muốn nhấn mạnh ở đây là khi thực hiện triển khai này bạn phải biết về các thiết lập phức tạp và cấu hình của nó, để từ đó kiên nhẫn và test thật cẩn thận trong quá trình triển khai. Càng dành nhiều thời gian để test và tìm hiểu cách làm việc của giải pháp thì bạn sẽ càng thành công trong quá trình triển khai của mình.

NAP với sự thực thi chính sách IPsec sẽ là một phương pháp rất mạnh trong triển khai giải pháp NAP của bạn. bạn sẽ có hai giải pháp trong một: giải pháp thứ nhất là có được sự kiểm soát truy cập mạng NAP để cho phép bạn có thể khóa các máy tính không đảm bảo đủ các tiêu chí về “sức khỏe” kết nối vào mạng và thứ hai đó là bạn sẽ lợi dụng trong việc cách ly miền IPsec để từ đó có thể ngăn chặn các máy tính lừa bịp kết nối vào mạng của mình. NAP với việc cách ly miền IPsec sẽ cho phép bạn tạo một mạng ảo bên trong biên giới các mạng vật lý của bạn. Các máy tính trong mạng riêng ảo IPsec có thể nằm trên cùng một đoạn mạng hoặc đoạn VLAN nhưng được chia đoạn ảo với nhau bằng IPsec. Các máy tính không có chứng chỉ “sức khỏe” IPsec sẽ không thể truyền thông với các máy tính “khỏe mạnh” trong mạng.

Trong phần này chúng tôi sẽ giới thiệu cho các bạn từ việc khởi đầu đến kết thúc quá trình triển khai giải pháp NAP bằng thực thi chính sách IPsec. Môi trường ban đầu rất đơn giản, các bạn có thể thấy trong hình bên dưới.


Hình 1

Các máy tính mà chúng ta đang sử dụng trong mạng ví dụ là:

WIN2008DC

Đây là máy tính Windows Server 2008 phiên bản Enterprise, máy tính này đóng vai trò bộ điều khiển miền msfirewall.org. Chỉ có một role máy chủ đã cài đặt trên máy tính này là Certificate Authority server role. Chúng tôi đã tạo trên máy tính này một Enterprise Root CA. Nếu các bạn muốn mirror cấu hình này, trước tiên hãy một máy đóng vai trò điều khiển miền, sau đó sẽ thăng quyền thành điều khiển miền, cài đặt role CA và chọn tùy chọn Root CA. Nếu bạn muốn mirror một cấu hình CA doanh nghiệp, hãy đặt tên của nó là CA msfirewall-WIN2008DC-CA.

WIN2008SRV1

Đây là máy tính chạy hệ điều hành Windows Server 2008 phiên bản Enterprise và là một máy chủ thành viên trong miền msfirewall.org. Không có role máy chủ nào cấu hình trên máy này. Chúng ta sẽ cài đặt NPS server role trên nó và làm cho nó trở thành máy CA cấp thấp hơn, tuy nhiên nếu bạn muốn xây dựng lab này, hãy cài đặt Windows Server 2008 trên máy tính và thực hiện theo các hướng dẫn như chúng tôi giới thiệu trong loạt bài này.

VISTASP1

Đây là máy tính chạy hệ điều hành Vista SP1. Máy tính này được gia nhập vào miền msfirewall.org. Chúng tôi đã sử dụng một cài đặt Vista mặc định và sau đó cài đặt SP1. Nếu bạn đã có một cài đặt SP1 từ trước thì điều đó không có gì phải đề cập.

VISTASP1-2

Đây là máy tính chạy hệ điều hành Vista, giống như VISTASP1. Máy tính này được cài đặt trong một nhóm làm việc có tên WORKGROUP. Chúng ta sẽ nhập máy tính này vào một miền nào đó sau khi test các chính sách NAP và IPsec.

Các bước chính chúng ta sẽ thực hiện trong loạt bài này gồm có:

  • Cấu hình bộ điều khiển miền
  • Cài đặt và cấu hình Network Policy Server, Health Registration Authority và Subordinate CA
  • Cấu hình NAP IPsec Enforcement Policy trên Network Policy Server
  • Cấu hình VISTASP1 và VISTASP1-2 cho việc test
  • Test Health Certificate và Auto-remediation Configuration
  • Thẩm định thực thi chính sách NAO trên VISTASP1
  • Cấu hình và test các chính sách IPsec.

Mục tiêu của chúng tôi trong loạt bài này là giới thiệu cho các bạn về cách cấu hình một giải pháp và chứng tỏ rằng giải pháp đã làm việc.

Cấu hình bộ điều khiển miền

Trong phần này, chúng ta sẽ thực hiện các bước dưới đây:

  • Xác nhận cấu hình Enterprise Root CA trên bộ điều khiển miền
  • Tạo nhóm bảo mật NAP CLIENTS
  • Tạo nhóm bảo mật NAP Exempt
  • Tạo và cấu hình Certificate Template cho NAP Exempt Computers
  • Làm cho Certificate Template hiện hữu trong việc công bố trong Group Policy.
  • Phân phối NAP Exemption Health Certificate thông qua Group Policy Autoenrollment

Xác nhận cấu hình Root CA

Thẩm định rằng các yêu cầu chứng chỉ không cần đến sự phê chuẩn của quản trị viên. Thực hiện các bước dưới đây trên máy tính bộ điều khiển miền, WIN2008DC:

1. Kích Start, trỏ tới Administrative Tools và sau đó kích Certification Authority

2. Trong phần panel bên trái của giao diện, kích chuột phải vào CA, sau đó kích Properties.


Hình 2

3. Kích tab Policy Module, sau đó kích Properties


Hình 3

4. Thẩm định rằng tùy chọn Follow the settings in the certificate template, if applicable. Otherwise, automatically issue the certificate đã được chọn.


Hình 4

5. Kích OK hai lần, sau đó đóng giao diện điều khiển Certification Authority

Tạo nhóm NAP CLIENTS

Tiếp đến, tạo một nhóm lọc bảo mật Group Policy. Những gì chúng ta sẽ thực hiện lúc này là tạo một Group Policy Object để sử dụng các máy chính sách NAP sẽ sử dụng, sau đó cấu hình GPO chỉ cho các thành viên của nhóm. Theo cách này, chúng ta không cần tạo một OU cho các máy khách NAP. Tất cả những gì chúng ta cần thực hiện ở đây là add các máy khách NAP vào nhóm bảo mật. VISTASP1 và VISTASP1-2 sẽ được add vào nhóm này sau khi chúng ta gia nhập miền.

Thực hiện các bước dưới đây trên máy tính WIN2008DC:

1. Trong phần panel bên trái của giao diện Active Directory Users and Computers, kích chuột phải vào msfirewall.org, trỏ đến New và sau đó kích Group.


Hình 5

2. Trong hộp thoại New Object - Group, trong Group name, đánh NAP Clients. Trong Group scope, chọn Global, còn trong Group type chọn Security, sau đó kích OK


Hình 6

3. Để giao diện điều khiển Active Directory Users and Computers mở cho thủ tục dưới đây.

Tạo nhóm NAP Exempt

Sẽ có các máy trong mạng của bạn cần truyền thông với các thành viên của mạng bảo mật, những người này không thể có đủ các yêu cầu bảo mật NAP cần thiết. Có các máy tính cơ sở hạ tầng mạng, chẳng hạn như các bộ điều khiển miền, máy chủ DHCP và các thành phần khác cần truyền thông với các máy tính trong mạng an toàn.

Trong ví dụ của chúng tôi, WIN2008SRV1 cần kết nối với các thành viên của mạng an toàn để cung cấp cho chúng các chứng chỉ sức khỏe, các chứng chỉ đó sẽ được sử dụng để thiết lập truyền thông IPsec an toàn giữa các thành viên trong mạng an toàn. Chính vì vậy chúng ta sẽ đặt máy tính này là một nhóm riêng và sau đó cấu hình chứng chỉ sức khỏe sẽ được triển khai tự động cho máy tính này. Chứng chỉ sức khỏe sẽ được triển khai cho máy tính này bằng cách sử dụng sự kết nạp tự động.

Thực hiện các bước dưới đây trên máy tính WIN2008DC:

1. Trong giao diện điều khiển Active Directory Users and Computers, kích chuột phải vào msfirewall.org và trỏ đến New, sau đó kích Group.


Hình 7

2. Trong Group name, đánh IPsec NAP Exemption. Trong Group scope, chọn Global và trong Group type chọn Security, sau đó kích OK


Hình 8

3. Để lại giao diện điều khiển Active Directory Users and Computers cho thủ tục dưới đây.


Hình 9

Tạo và cấu hình mẫu chứng chỉ cho NAP Exempt Computer

Một mẫu chứng chỉ phải được tạo cho các máy tính được cấp miễn các kiểm tra sức khỏe NAP. Mẫu chứng chỉ này sẽ được cấu hình hai chính sách ứng dụng: thẩm định máy khách và thẩm định sức khỏe hệ thống. Mẫu chứng chỉ này sẽ được cấu hình với System Health Authentication OID để nó có thể được sử dụng nhằm truyền thông với các máy tính đồng thuận NAP trong mạng an toàn.

Sau khi tạo mẫu chứng chỉ, chúng ta sẽ công bố mẫu chứng chỉ để nó trở lên hiện hữu đối với Active Directory cho các máy tính là các thành viên của nhóm NAP Exempt. Sau khi công bố mẫu chứng chỉ cho Active Directory, chúng ta sẽ cấu hình Group Policy để chứng chỉ sẽ tự động gán cho các thành viên của nhóm NAP Exempt bằng tính năng tự động kết nạp (Autoenrollment).

Thực hiện các bước dưới đây trên máy tính WIN2008DC:

1. Kích Start, kích Run và đánh certtmpl.msc sau đó nhấn ENTER

2. Trong phần panel ở giữa của Certificate Template Console, kích chuột phải vào Workstation Authentication, sau đó kích Duplicate Template. Mẫu này được sử dụng vì nó đã được cấu hình với chính sách thẩm định ứng dụng máy khách.


Hình 10

3. Trong hộp thoại Duplicate Template, chọn tùy chọn Windows 2003 Server, Enterprise Edition và kích OK.


Hình 11

4. Trong Template display name, đánh System Health Authentication. Hãy tích vào hộp kiểm Publish certificate in Active Directory.


Hình 12

5. Kích tab Extensions, sau đó kích Application Policies. Tiếp đó kích nút Edit


Hình 13

6. Trong hộp thoại Edit Application Policies Extension, kích Add.


Hình 14

7. Trong hộp thoại Add Application Policy, chọn chính sách System Health Authentication và kích OK.


Hình 15

8. Kich OK trong hộp thoại Edit Application Policy Extension


Hình 16

9. Kích tab Security và kích Add. Trong hộp thoại Select Users, Computers or Groups, bạn nhập vào NAP Exempt trong hộp văn bản Enter the object name to select và kích Check Names. Sau đó kích OK.


Hình 17

10. Kích IPsec NAP Exemption, sau đó tích vào hộp kiểm bên cạnh Allow, EnrollAutoenroll sau đó kích OK.


Hình 18

11. Đóng giao diện điều khiển các mẫu chứng chỉ.

Làm cho mẫu chứng chỉ hiện hữu cho việc công bố trong Group Policy

Thực hiện theo các bước dưới đây để kích hoạt mẫu chứng chỉ mới trở thành hiện hữu trong Active Directory Group Policy. Sau khi thực hiện điều đó, chúng ta sẽ có thể làm cho chứng chỉ trở lên hiện hữu đối với các thành viên của nhóm NAP Exempt thông qua việc tự động kết nạp.

Thực hiện các bước dưới đây trên máy tính WIN2008DC:

1. Kích Start, kích Run, đánh certsrv.msc sau đó nhấn ENTER.

2. Mở phần tên máy chủ trong panel bên trái của giao diện điều khiển, trong cây giao diện, kích vào Certificate Templates, trỏ tới New, sau đó kích Certificate Template to Issue.


Hình 19

3. Kích System Health Authentication, sau đó kích OK


Hình 20

4. Trong panel bên trái của giao diện điều khiển, kích Certificate Templates, trong phần panel chi tiết nằm trong phần Name, hãy thẩm định rằng System Health Authentication đã được hiển thị.


Hình 21

5. Đóng giao diện Certification Authority

Phân phối chứng chỉ sức khỏe NAP Exemption trong Group Policy Autoenrollment

Chúng ta đã công bố mẫu chứng chỉ, chính vì vậy lúc này có thể làm cho nó trở thành hiên hữu đối với các máy thuộc về nhóm NAP Exempt. Chúng ta sẽ thực hiện điều đó bằng cách sử dụng sự kết nạp tự động (autoenrollment).

Thực hiện theo các bước dưới đây trên máy để kích hoạt sự kết nạp tự động (autoenrollment) của chứng chỉ này:

1. Kích Start và sau đó kích Run. Nhập gpmc.msc vào hộp văn bản Open và kích OK.

2. Trong giao diện điều khiển Group Policy Management, hãy kích để mở phần tên miền msfirewall.org và kích chuột phải vào Default Domain Policy và kích Edit.


Hình 22

3. Trong panel bên trái của Group Policy Management Editor, mở Computer Configuration\Windows Settings\Security Settings\Public Key Policies. Trong phần giữa của giao diện điều khiển, hãy kích đúp Certificate Services Client – Auto-Enrollment.


Hình 23

4. Trong hộp thoại Certificate Services Client – Auto-Enrollment Properties, bạn hãy chọn tùy chọn từ danh sách Configuration Model. Tích vào các hộp thoại Renew Expired certificates, update pending certificates, and remove revoked certificatesUpdate certificates that use certificate templates. Kích OK.


Hình 24

5. Đóng Group Policy Management Editor

6. Đóng giao diện điều khiển Group Policy Management

Kết luận

Trong phần 1 này chúng tôi đã giới thiệu cho các bạn các yêu cầu về cấu hình cho máy tính được sử dụng làm bộ điều khiển miền. Trong bài là giới thiệu về việc xác nhận cấu hình root CA của doanh nghiệp, việc tạo các nhóm bảo mật NAP CLIENTS và NAP Exempt, tạo và cấu hình mẫu chứng chỉ cho các máy tính ví dụ NAP, làm cho mẫu chứng chỉ hiện hữu để công bố trong Group Policy, tiếp đó là phân phối chứng chỉ “sức khỏe” NAP exemption cho Group Policy. Trong phần tiếp theo của loạt bài này chúng tôi sẽ cài đặt Network Policy Server và các quyền Health Registration cũng như tạo một chính sách NAP.

Thứ Hai, 13/10/2008 09:24
4,52 👨 6.052
0 Bình luận
Sắp xếp theo
❖
Xóa Đăng nhập để Gửi

    Bạn nên đọc

    ❖ Tổng hợp