Projektowanie Bezpieczeństwa Sieci

Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012
Projektowanie Bezpieczeństwa Sieci
- Laboratorium
Konfiguracja NAP –
Network Access Protection
Projektowanie Bezpieczeństwa Sieci
S
– Łukasz Jopek 2012
1. Instalacja serwera NAP.
Sieć laboratoryjna powinna składać się z maszyny wyposażonej w dwie karty sieciowe, na której
zainstalowany jest system Windows 2008, oraz drugiej maszyny z dowolnym systemem klienckim, np.
Windows XP (z sp3) lub system Windows 2008. Na serwerze zainstaluj kolejno :
1.1
1.2
1.3
1.4
Zainstaluj rolę Active Directory oraz DHCP.
Utwórz dwóch użytkoników domeny : ‘user1’ i ’user2’
Zainstaluj rolę Network Access Protection.
Protection
Wybierz składniki
kładniki jak na rysunki poniżej:
1.5 Zainstaluj urząd certyfikacji (CA), potrzebny do działania serwer NAP :
Projektowanie Bezpieczeństwa Sieci
S
– Łukasz Jopek 2012
1.6 Serwer NAP może pracować wewnątrz domeny lub też po za nią. W tym przypadku
wybierz opcje pracy wewnątrz domeny.
Projektowanie Bezpieczeństwa Sieci
S
– Łukasz Jopek 2012
1.7 Ostatni etap konfiguracji serwera NAP to wybór rodzaju certyfikatu dla połączeń SSL oraz
podjęcie decyzji, czy mają być używane przez HRA i HCAP do komunikacji z klientami.
Wybierz opcje zezwalającą na nieużywanie połączeń SSL :
2. Konfiguracja usługi Network Access Protection
2.1 Wybrać trzeba metodę pracy NAP. Do wyboru istnieje sześć opcji: DHCP, IPsec, IEEE 802.1X
(dla sieci przewodowych, jak i bezprzewodowych), VPN oraz TS Gateway. Wybierz opcje
DHCP. W tym przypadku, w definicji zakresu (ang. Scope) można wykorzystać nazwę zakresu
zdefiniowaną podczas konfigurowania serwera DHCP.
Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012
Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012
2.2 Serwery NPS wykorzystują do komunikacji z serwerami NAP protokół RADIUS, dzieje się tak
tylko w przypadku rozdzielenia ról. Konfigurację tą można pominąć, jeśli jeden serwer będzie
odpowiedzialny za działanie wszystkich składników NAP, włącznie z obsługą protokołu
wymuszającego. Ponieważ serwer NAP będzie pracował na jednej maszynie, zatem nie
musimy definiować żadnych zewnętrznych serwerów RADIUS.
Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012
2.3 W przypadku wykorzystania DHCP należy określić specyficzne ustawienia z nim związane (m.
in. zakres). Następne okno pozwala na wybór konkretnych komputerów lub użytkowników,
które nie będą mogły korzystać z tworzonej polityki. Utwórz dla użytkownika ‘user2’ osobną
politykę.
Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012
2.4 Ostatnim etapem konfiguracji jest określenie takich parametrów, jak SHV (System Health
Validators) współpracujących z tą polityką, określenie automatycznej korekty, oraz określenie
restrykcji dostępu dla klientów niespełniających warunków
Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012
Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012
3. Sprawdzanie działania NAP.
3.1Konfiguracja klienta do współpracy z NAP
Znając możliwości konfiguracji strony serwerowej mechanizmu NAP, dobrze jest poznać
stronę kliencką. Aby uruchomić konsolę NAP Client Configuration, należy wykonać
polecenie uruchom -> napclcfg.msc.
Konfiguracja strony klienckiej umożliwia określenie rodzaju wymuszenia, konfigurację
interfejsu oraz zdefiniowanie zaufanych serwerów
Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012
3.2 Skofiguruj NAP, ta aby :
a) Tylko klienci z włączona usługą aktualizacji systemu oraz aktywnym firewallem mogli się
logować do domeny.
b) klienci z włączona usługą aktualizacji systemu ale bez aktywnego firewalla mogli się logować
do domeny, z tym, że powinni otrzymywać ostrzenie o braku aktywnego firewalla
c) Dodaj nowego klienta (można użyć kopii maszyny z Windows xp), dodaj nowego użytkownika
do domeny, spróbuj zalogować się do domeny bez skonfigurowanego NAP clienta. Czy się
udało ?
d) Zmodyfikuj SHV tak aby ostrzegał o wyłączonym firewallu.
e) Następnie skonfiguruj clienta NAP dla tego użytkownika ‘user2’. Wyłącz i włącz firewall
systemowy. Jaka była reakcja systemu?