Projektowanie Bezpieczeństwa Sieci
Transkrypt
Projektowanie Bezpieczeństwa Sieci
Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012 Projektowanie Bezpieczeństwa Sieci - Laboratorium Konfiguracja NAP – Network Access Protection Projektowanie Bezpieczeństwa Sieci S – Łukasz Jopek 2012 1. Instalacja serwera NAP. Sieć laboratoryjna powinna składać się z maszyny wyposażonej w dwie karty sieciowe, na której zainstalowany jest system Windows 2008, oraz drugiej maszyny z dowolnym systemem klienckim, np. Windows XP (z sp3) lub system Windows 2008. Na serwerze zainstaluj kolejno : 1.1 1.2 1.3 1.4 Zainstaluj rolę Active Directory oraz DHCP. Utwórz dwóch użytkoników domeny : ‘user1’ i ’user2’ Zainstaluj rolę Network Access Protection. Protection Wybierz składniki kładniki jak na rysunki poniżej: 1.5 Zainstaluj urząd certyfikacji (CA), potrzebny do działania serwer NAP : Projektowanie Bezpieczeństwa Sieci S – Łukasz Jopek 2012 1.6 Serwer NAP może pracować wewnątrz domeny lub też po za nią. W tym przypadku wybierz opcje pracy wewnątrz domeny. Projektowanie Bezpieczeństwa Sieci S – Łukasz Jopek 2012 1.7 Ostatni etap konfiguracji serwera NAP to wybór rodzaju certyfikatu dla połączeń SSL oraz podjęcie decyzji, czy mają być używane przez HRA i HCAP do komunikacji z klientami. Wybierz opcje zezwalającą na nieużywanie połączeń SSL : 2. Konfiguracja usługi Network Access Protection 2.1 Wybrać trzeba metodę pracy NAP. Do wyboru istnieje sześć opcji: DHCP, IPsec, IEEE 802.1X (dla sieci przewodowych, jak i bezprzewodowych), VPN oraz TS Gateway. Wybierz opcje DHCP. W tym przypadku, w definicji zakresu (ang. Scope) można wykorzystać nazwę zakresu zdefiniowaną podczas konfigurowania serwera DHCP. Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012 Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012 2.2 Serwery NPS wykorzystują do komunikacji z serwerami NAP protokół RADIUS, dzieje się tak tylko w przypadku rozdzielenia ról. Konfigurację tą można pominąć, jeśli jeden serwer będzie odpowiedzialny za działanie wszystkich składników NAP, włącznie z obsługą protokołu wymuszającego. Ponieważ serwer NAP będzie pracował na jednej maszynie, zatem nie musimy definiować żadnych zewnętrznych serwerów RADIUS. Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012 2.3 W przypadku wykorzystania DHCP należy określić specyficzne ustawienia z nim związane (m. in. zakres). Następne okno pozwala na wybór konkretnych komputerów lub użytkowników, które nie będą mogły korzystać z tworzonej polityki. Utwórz dla użytkownika ‘user2’ osobną politykę. Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012 2.4 Ostatnim etapem konfiguracji jest określenie takich parametrów, jak SHV (System Health Validators) współpracujących z tą polityką, określenie automatycznej korekty, oraz określenie restrykcji dostępu dla klientów niespełniających warunków Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012 Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012 3. Sprawdzanie działania NAP. 3.1Konfiguracja klienta do współpracy z NAP Znając możliwości konfiguracji strony serwerowej mechanizmu NAP, dobrze jest poznać stronę kliencką. Aby uruchomić konsolę NAP Client Configuration, należy wykonać polecenie uruchom -> napclcfg.msc. Konfiguracja strony klienckiej umożliwia określenie rodzaju wymuszenia, konfigurację interfejsu oraz zdefiniowanie zaufanych serwerów Projektowanie Bezpieczeństwa Sieci – Łukasz Jopek 2012 3.2 Skofiguruj NAP, ta aby : a) Tylko klienci z włączona usługą aktualizacji systemu oraz aktywnym firewallem mogli się logować do domeny. b) klienci z włączona usługą aktualizacji systemu ale bez aktywnego firewalla mogli się logować do domeny, z tym, że powinni otrzymywać ostrzenie o braku aktywnego firewalla c) Dodaj nowego klienta (można użyć kopii maszyny z Windows xp), dodaj nowego użytkownika do domeny, spróbuj zalogować się do domeny bez skonfigurowanego NAP clienta. Czy się udało ? d) Zmodyfikuj SHV tak aby ostrzegał o wyłączonym firewallu. e) Następnie skonfiguruj clienta NAP dla tego użytkownika ‘user2’. Wyłącz i włącz firewall systemowy. Jaka była reakcja systemu?