Глава 9
Рис. 9.4.
Центр сертификации (certsrv.msc)
Кроме того, не забудьте включить опцию разрешения входящих звонков для соот-
ветствующих учетных записей (в том числе и компьютеров).
Настройка службы RADIUS
Компьютер со службой IAS должен входить в специальную группу безопасности
домена, чтобы иметь доступ к параметрам учетных записей. Эта операция выпол-
няется путем авторизации службы в ее меню.
Настройка компьютера с IAS предполагает настройку
клиентов
и создание
политик
удаленного доступа.
Клиент
— это коммутатор, который запрашивает у сервера RADIUS разрешения
на включение порта. Каждый клиент должен быть зарегистрирован на RADIUS-
сервере. Для этого необходимо ввести его IP-адрес и ключ.
Ключ
— это пароль,
который должен быть одинаковым в настройках и IAS, и клиента. Рекомендует-
ся для каждого клиента выбирать его уникальным и достаточно сложным —
длиной более 20 символов. Ключ вводится всего в двух конфигурациях и прак-
тически не меняется в процессе работы.
Возможность получения клиентом аутентификации от службы IAS всецело
определяется
политиками удаленного доступа
. Обычно таких политик доста-
точно много (для различных вариантов подключения) — они просматриваются
по очереди, пока запрос клиента не совпадет с какой-либо из них.
Безопасность
447
Политику удаленного доступа следует создавать при помощи мастера создания по-
литик, указывая вариант Ethernet и вводя на запрос о группах Windows названия
групп, которым предоставлено право доступа.
В результате служба IAS будет проверять членство компьютера или пользователя
в соответствующей группе. Если проверка выполнится успешно, то коммутатор
получит соответствующее разрешение на открытие порта.
Настройка автоматического назначения VLAN для порта коммутатора
Многие коммутаторы имеют возможность назначить порт в той или иной VLAN
в соответствии с данными аутентификации. Для этого данные от службы IAS
должны возвращать соответствующие параметры. Покажем, как это сделать.
После создания политики удаленного доступа откройте ее свойства и нажмите кла-
вишу редактирования профиля. Выберите вкладку
Дополнительно
(рис. 9.5) и до-
бавьте следующие три атрибута:
Tunnel-Medium-Type
со значением
802 (includes all 802 media plus Ethernet
canonical format)
;
Tunnel-Pvt-Group-ID
со значением номера VLAN, в которую должен быть
помещен порт в случае удачной аутентификации (на рисунке выбрана VLAN
с номером 20);
Tunnel-Type
со значением
Virtual LANs
.
Рис. 9.5.
Настройка атрибутов, используемых для автоматического назначения
порта коммутатора в VLAN
448
Глава 9
При получении запроса служба последовательно проверит соответствие его данных
имеющимся политикам удаленного доступа и возвратит первое удачное совпадение
или отказ.
Настройка клиентского компьютера
Для использования протокола 802.1
х
при подключении к локальной сети на ком-
пьютере должна быть запущена служба
Беспроводная настройка
. Только в этом
случае в свойствах сетевого подключения появится третья вкладка, определяющая
настройки протокола 802.1
х.
По умолчанию настройки предполагают использова-
ние для аутентификации именно сертификатов, так что никаких изменений данных
параметров не требуется.
С
ОВЕТ
Проще всего настроить эту службу на режим автоматического запуска с использова-
нием групповой политики. Для этого следует открыть меню
Конфигурация компью-
тера | Конфигурация Windows | Параметры безопасности | Системные службы
и
указать для службы
Беспроводная настройка
вариант автоматического запуска.
На следующем шаге необходимо проверить наличие сертификата, на основании
которого предполагается осуществить открытие порта коммутатора. Для этого
нужно открыть консоль управления сертификатами, обратив внимание на выбор
правильного контейнера для просмотра. Так, если предполагается аутентифициро-
вать компьютер, следует просматривать контейнер
Локальный компьютер
.
Настройка коммутатора
Настройки коммутаторов у разных вендоров различаются. Приведем в качестве
примера вариант настройки коммутатора Cisco.
В этом примере использованы настройки по умолчанию для портов службы
RADIUS, не включены параметры повторной аутентификации и некоторые другие.
Кроме того, в качестве гостевой VLAN (в нее будет помещен порт, если устройство
не поддерживает протокол 802.1
х
) определена VLAN с номером 200, а в случае
неудачной аутентификации устройство будет работать в VLAN с номером 201.
Сначала в конфигурации коммутатора создается новая модель аутентификации,
указывающая на использование службы RADIUS:
aaa new-model
aaa authentication login default group radius
aaa authentication dot1x default group radius
aaa authorization network default group radius
Затем включается режим использования протокола 802.1
x
и определяются парамет-
ры RADIUS-сервера:
dot1x system-auth-control
radius-server host key
хххххххххххх
После чего для каждого интерфейса настраивается использование протокола
802.1
x
. В качестве примера выбран порт номер 11:
Безопасность
449
interface GigabitEthernet0/11
switchport mode access
dot1x port-control auto
dot1x guest-vlan 200
dot1x auth-fail vlan 201
Этих настроек достаточно, чтобы использовать на коммутаторе аутентификацию по
протоколу 802.1
х
.
Технология NAP
Описанная ранее технология подключения по протоколу 802.1
x
подразумевает про-
верку только сертификата компьютера (или пользователя). Понятно, что этого
мало, и ей на смену пришла технология NAP (Network Access Protection).
П
РИМЕЧАНИЕ
Название Network Access Protection используется корпорацией Microsoft, продукты
других фирм могут носить иное имя, — например, Network Access Control для продук-
тов Symantec Endpoint Protection.
Эта технология поддерживается серверами Windows Server 2008/2012/2016, а в ка-
честве клиентов могут выступать даже машины с Windows XP, но с установлен-
ным SP3.
Технология NAP предусматривает ограничение использования ненадежными сис-
темами следующих сетевых служб:
служб IPsec (Internet Protocol security protected communication);
подключений с использованием протокола 802.1
x
;
создания VPN-подключений;
получения конфигурации от DHCP-сервера.
Идея очень проста — клиент, который хочет получить один из упомянутых здесь
сервисов, должен предоставить о себе определенные данные. Существует возмож-
ность и проверки параметров, определенных центром безопасности сервера: нали-
чия антивирусной программы, обновлений, настроек брандмауэра и т. п. Все эти
данные предоставляются программой-агентом, которая запущена на клиентском
компьютере. Если компьютер проходит проверку (его настройки соответствуют
параметрам, заданным администратором), он получает сертификат, дающий право
на использование запрашиваемых услуг. Если проверка не пройдена, все зависит от
выбранных администратором настроек: или будет проведено обновление до нужно-
го уровня безопасности, или будут наложены определенные ограничения в работе.
Подробно о внедрении NAP рассказано на сайте Microsoft:
https://technet.microsoft.com/ru-ru/network/bb545879
.
450
Do'stlaringiz bilan baham: |