Projektowanie Bezpieczeństwa Sieci - Laboratorium Konfiguracja NAP Network Access Protection
1. Instalacja serwera NAP. Projektowanie Bezpieczeństwa Sieci Łukasz Jopek 2012 Sieć laboratoryjna powinna składać się z maszyny wyposażonej w dwie karty sieciowe, na której zainstalowany jest system Windows 2008, oraz drugiej maszyny z dowolnym systemem klienckim, np. Windows XP (z sp3) lub system Windows 2008. Na serwerze zainstaluj kolejno : 1.1 Zainstaluj rolę Active Directory oraz DHCP. 1.2 Utwórz dwóch użytkoników domeny : user1 i user2 1.3 Zainstaluj rolę Network Access Protection. 1.4 Wybierz składniki jak na rysunki poniżej: 1.5 Zainstaluj urząd certyfikacji (CA), potrzebny do działania serwer NAP :
1.6 Serwer NAP może pracować wewnątrz domeny lub też po za nią. W tym przypadku wybierz opcje pracy wewnątrz domeny.
1.7 Ostatni etap konfiguracji serwera NAP to wybór rodzaju certyfikatu dla połączeń SSL oraz podjęcie decyzji, czy mają być używane przez HRA i HCAP do komunikacji z klientami. Wybierz opcje zezwalającą na nieużywanie połączeń SSL : 2. Konfiguracja usługi Network Access Protection 2.1 Wybrać trzeba metodę pracy NAP. Do wyboru istnieje sześć opcji: DHCP, IPsec, IEEE 802.1X (dla sieci przewodowych, jak i bezprzewodowych), VPN oraz TS Gateway. Wybierz opcje DHCP. W tym przypadku, w definicji zakresu (ang. Scope) można wykorzystać nazwę zakresu zdefiniowaną podczas konfigurowania serwera DHCP.
2.2 Serwery NPS wykorzystują do komunikacji z serwerami NAP protokół RADIUS, dzieje się tak tylko w przypadku rozdzielenia ról. Konfigurację tą można pominąć, jeśli jeden serwer będzie odpowiedzialny za działanie wszystkich składników NAP, włącznie z obsługą protokołu wymuszającego. Ponieważ serwer NAP będzie pracował na jednej maszynie, zatem nie musimy definiować żadnych zewnętrznych serwerów RADIUS.
2.3 W przypadku wykorzystania DHCP należy określić specyficzne ustawienia z nim związane (m. in. zakres). Następne okno pozwala na wybór konkretnych komputerów lub użytkowników, które nie będą mogły korzystać z tworzonej polityki. Utwórz dla użytkownika user2 osobną politykę.
2.4 Ostatnim etapem konfiguracji jest określenie takich parametrów, jak SHV (System Health Validators) współpracujących z tą polityką, określenie automatycznej korekty, oraz określenie restrykcji dostępu dla klientów niespełniających warunków
3. Sprawdzanie działania NAP. 3.1Konfiguracja klienta do współpracy z NAP Znając możliwości konfiguracji strony serwerowej mechanizmu NAP, dobrze jest poznać stronę kliencką. Aby uruchomić konsolę NAP Client Configuration, należy wykonać polecenie uruchom -> napclcfg.msc. Konfiguracja strony klienckiej umożliwia określenie rodzaju wymuszenia, konfigurację interfejsu oraz zdefiniowanie zaufanych serwerów
3.2 Skofiguruj NAP, ta aby : a) Tylko klienci z włączona usługą aktualizacji systemu oraz aktywnym firewallem mogli się logować do domeny. b) klienci z włączona usługą aktualizacji systemu ale bez aktywnego firewalla mogli się logować do domeny, z tym, że powinni otrzymywać ostrzenie o braku aktywnego firewalla c) Dodaj nowego klienta (można użyć kopii maszyny z Windows xp), dodaj nowego użytkownika do domeny, spróbuj zalogować się do domeny bez skonfigurowanego NAP clienta. Czy się udało? d) Zmodyfikuj SHV tak aby ostrzegał o wyłączonym firewallu. e) Następnie skonfiguruj clienta NAP dla tego użytkownika user2. Wyłącz i włącz firewall systemowy. Jaka była reakcja systemu?