Windows Server 2008 NAP 整合 802.1x 網路安全控管
-
Upload
eden-estes -
Category
Documents
-
view
231 -
download
4
description
Transcript of Windows Server 2008 NAP 整合 802.1x 網路安全控管
![Page 1: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/1.jpg)
顧武雄台灣微軟特約資深講師[email protected]
Windows Server 2008Windows Server 2008NAPNAP 整合整合 802.1x802.1x網路安全控網路安全控管管
![Page 2: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/2.jpg)
Windows Server 2008 NAP課程課程名稱 時間NAP 整合 VPN 網路安全控管 6/12NAP 整合終端機服務安全控管 6/19NAP 整合 802.1x 網路安全控管 6/26
![Page 3: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/3.jpg)
Level 200
預備知識• 使用過 Windows Server 2008
• 了解 Active Directory 架構
![Page 4: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/4.jpg)
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
![Page 5: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/5.jpg)
NAP for 802.1x運作元件
![Page 6: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/6.jpg)
建立 NAP for 802.1x測試環境
![Page 7: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/7.jpg)
三種 802.1x網路保護法• 將非法用戶端隔離至特定的 VLAN
–網路設備必須支援動態 VLAN
• 使用 IP 篩選器進行有限資源存取控管• 直接拒絕存取(連接埠由綠燈變橘燈)
–用戶端電腦需要重新拔插連接網路線
![Page 8: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/8.jpg)
建構以 VLAN的隔離法• 必須在初始的 VLAN 中規劃 DHCP 服務
–VLAN1 :初始預設連線的 VLAN ,可置放矯正伺服器–VLAN2 :置放隔離用戶端的 VLAN
–VLAN3 :置放合法用戶端與網路資源的 VLAN
• 請透過 ACLs 將 VLAN2 與 VLAN3 設為無法相互存取• 用戶端必須以 DHCP 方式連線網路
![Page 9: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/9.jpg)
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
![Page 10: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/10.jpg)
VLAN網路位址配置• 以 Cisco Catalyst 3560G 為範例• 使用 Cisco Network Assistant 介面設定
–或 IOS 命令
![Page 11: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/11.jpg)
啟用設備連接埠的 AAA設定• AAAAAA= Authentication 、 Authorization 、 Accounting
![Page 12: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/12.jpg)
設定 RADIUS伺服器連線• NPS 主機 =RADIUS 伺服器• 802.1x 設備 = RADIUS 用戶端• 設定方法
–radius-server host 192.168.2.1 auth-port 1812
acct-port 1813 key 1234
![Page 13: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/13.jpg)
DHCP Relay設定• 以 ip helper-address 命令指向位在 VLAN1 網路中的
DHCP 伺服器
![Page 14: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/14.jpg)
變更 Supplicant Timeout設定• 預設 supp-timeout=5 秒• 建議設定在 15 以上,避免 NAP 的健康狀態訊息( SoH ),還
來不及透過此交換器完成驗證動作就已經逾時,而導致經常無法成功連線的問題。
![Page 15: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/15.jpg)
重新驗證間隔時間 (選用 )
• 預設 reauthentication 功能 =Disable–使用 dot1x reauthentication 命令來啟用
• 啟用後預設時間 =6 分鐘–使用 dot1x timeout reauth-period 秒數
• 請注意!每一次的重新驗證作業都會讓 NPS 主機上,產生新的合法驗證或非法驗證事件。
![Page 16: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/16.jpg)
啟用 Port Fast
• 縮短預設需 30 秒進入連線狀態的問題
![Page 17: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/17.jpg)
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
![Page 18: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/18.jpg)
NPS健康原則設定• 設定健康狀態檢驗程式
![Page 19: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/19.jpg)
NAP for 802.1x原則配置( 1/5)
![Page 20: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/20.jpg)
NAP for 802.1x原則配置( 2/5)
![Page 21: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/21.jpg)
NAP for 802.1x原則配置( 3/5)
![Page 22: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/22.jpg)
NAP for 802.1x原則配置( 4/5)
VLAN3 – 合法網路
![Page 23: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/23.jpg)
NAP for 802.1x原則配置( 5/5)• 回到了 [RADIUS標準屬性 ]頁面,請切換到 [特定廠商屬性 ]頁面。
繼續設定!
VLAN2 : 隔離的網路
![Page 24: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/24.jpg)
NAP for 802.1x原則設定
![Page 25: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/25.jpg)
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
![Page 26: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/26.jpg)
NAP for 802.1x用戶端設定• 可以群組原則統一配置• 可以採手動設定每一部用戶端
–Windows XP SP3設定會比較複雜
![Page 27: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/27.jpg)
群組原則設定 NAP用戶端• 啟用 EAP隔離強制用戶端• 啟用Wired AutoConfig服務(自動)• 啟用 Network Access Protection Agent服務(自動)• 啟用資訊安全中心
![Page 28: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/28.jpg)
設定用戶端有線區域網路• 啟用 IEEE 802.1x驗證
![Page 29: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/29.jpg)
關於Windows Vista 的 802.1x設定• 使用 Active Directory 群組原則來統一配置• 以命令工具語法 netsh lan 來設定 802.1x 的組
態–http://go.microsoft.com/fwlink/?LinkId=70195
![Page 30: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/30.jpg)
802.1x用戶端設定方法
![Page 31: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/31.jpg)
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
![Page 32: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/32.jpg)
查看動態 VLAN狀態
VLAN1 : NAP 用戶端尚未連接到網路設備!VLAN2: 遭隔離的 NAP用戶端
![Page 33: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/33.jpg)
測試拒絕非法用戶端連線修改不符合標準的原則設定!
已被 NAP拒絕連線的 802.1x用戶端!
![Page 34: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/34.jpg)
NAP for 802.1x用戶端展示
![Page 35: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/35.jpg)
NAP事件檢視隔離用戶端事件
合法用戶端事件
拒絕用戶端事件
![Page 36: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/36.jpg)
隔離或拒絕事件 Email通知• 簡易作法
–直接在 NPS 主機事件上附加 Email 通知工作–IT 無法第一時間掌握到是哪一部電腦無法連線
• 絕佳作法–整合 System Center Operations Manager 2007
• 在這一些重要的用戶端電腦上安裝 SCOM Agent• 當 NAP 隔離或拒絕事件發生時以 IM 或 Email 通知 IT 人員• 優點 : 可讓 IT 立即掌握到哪一部電腦無法連線!
![Page 37: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/37.jpg)
使用效能監視器• NPS 系統健康狀態驗證• NPS 遠端驗證伺服器• NPS 遠端帳戶處理伺服器• NPS 原則引擎• NPS 驗證伺服器• NPS 驗證 Proxy• NPS 驗證用戶端• NPS 帳戶處理伺服器• NPS 帳戶處理 Proxy• NPS 帳戶處理用戶端
![Page 38: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/38.jpg)
NAP網路運作的監控
![Page 39: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/39.jpg)
Q&A
![Page 40: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/40.jpg)
更多參考資訊…• TechNet
www.microsoft.com/taiwan/technet
• TechNet 技術論壇www.microsoft.com/taiwan/technet/forum
• Windows Server 2008www.microsoft.com/taiwan/windowsserver2008
• 顧大俠的 Blog tw.myblog.yahoo.com/chivalrous_ku/
![Page 41: Windows Server 2008 NAP 整合 802.1x 網路安全控管](https://reader031.fdocuments.net/reader031/viewer/2022020713/5681389b550346895da04d9c/html5/thumbnails/41.jpg)