I- GIỚI THIỆU
Network Access Protection (NAP) là dịch vụ cho phép qui định và áp đặt các tiêu chuẩn về bảo mật đối với các máy tính Client khi gia nhập vào hệ thống mạng do các máy tính này thường nằm ngoài tầm kiểm soát của người quản trị. NAP có thể ép buộc hoặc tự động điều chỉnh các máy client phải thực hiện một số thao tác bảo mật cơ bản bao gồm bật firewall, bật Automatic Update, cài đặt các phần mềm Anti Virus và Anti Spyware nhằm bảo đảm tính bảo mật cho các máy Client này. Nếu các máy Client không đáp ứng yêu cầu của NAP, NAP có thể ngăn cấm truy cập hệ thống, giới hạn truy cập hoặc điều chỉnh thông số trên Client cho phù hợp yêu cầu
Trong bài viết này, tôi sẽ hướng dẫn thao tác cấu hình NAP kết với với dịch vụ VPN để kiểm tra mức độ bảo mật, giới hạn truy cập và điều chỉnh cho các VPN Client khi kết nối VPN để truy cập vào hệ thống mạng nội bộ
II- TRIỂN KHAI CHI TIẾT
Bài LAB sử dụng 4 máy:
– VPNSERVER: Domain Member chạy Windows Server 2012 đóng vai trò VPN Server
(Máy này có 2 Card mạng: Internal và External)
– DC2012: Domain Controller (domain mcthub.local) chạy Windows Serrer 2012
(Máy này có 1 Card mạng kết nối với Card Internal của VPNSERVER)
– SVR1: Domain Member chạy Windows Server 2012
(Máy này có 1 Card mạng kết nối với Card Internal của VPNSERVER)
– CLIENT1: Domain Member chạy Windows 8
(Máy này có 1 Card mạng kết nối với Card External của VPNSERVER)
Bài LAB gồm các bước chính sau đây
1- Chuẩn bị
2- Cài đặt và cấu hình CA Server
3- Cài đặt Routing and Remote Access Service
4- Xin Certificate cho VPN Server
5- Cài đặt và cấu hình Network Policy Server
6- Cấu hình VPN Client to Gateway
7- Cấu hình NAP Client
8- Cấu hình Trust CA Server trên NAP Client
9- Tạo VPN Connection
10- Kiểm tra hoạt động của VPN và NAP
11- Cấu hình giới hạn truy cập và kiểm tra
12 – Cấu hình tự động điều chỉnh và kiểm tra
1- Chuẩn bị
Đặt thông số IP cho các máy như sau:
Máy VPNSERVER có 2 Card mạng: Card Internal kết nối vào mạng nội bộ, Card External kết nối ra Internet
Thông số Card Internal
Thông số Card External
Thông số Card mạng máy DC2012
Thông số Card mạng máy SVR1
Thông số Card mạng máy CLIENT1
Trên máy DC2012, phân quyền Dial in cho user Administrator để có thể thực hiện kết nối VPN dựa vào Network Access Policy. Mở Active Directory Users and Computers – Chọn Users – Bấm phải chuột vào user Administrator – Chọn Properties
Sang tab Dial-in. Trong khung Network Access Permission – Chọn Control access through NPS Network Policy – Nhấn OK
2- Cài đặt và cấu hình CA Server
Trên máy DC2012, cài đặt và cấu hình Enterprise CA (đặt tên CA Server là mcthub-CA). Bạn có thể tham khảo Phần 1 của bài viết này để cài đặt Enterprise CA.
Tiếp theo tôi sẽ phân quyền trên Certificate Template Computer để máy VPNSERVER có thể xin được Certificate này. Mở Certification Authority
Bấm chuột phải Certificate Template – Chọn Manage
Bấm chuột phải Certificate Template Computer – Chọn Properties
Chọn group Authenticated Users – Phân quyền Enroll cho group này – Nhấn OK
Đóng hộp thoại Certificate Template. Sau đó restart dịch vụ bằng cách bấm chuột phải vào tên CA mcthub-CA – All Tasks – Stop Service
Bấm chuột phải vào tên CA mcthub-CA – All Tasks – Start Service
Sau khi cài đặt và cấu hình CA, restart máy VPNSERVER để máy này tự động Trust CA Server
3- Cài đặt Routing and Remote Access Service
Để thực hiện chức năng VPN Server. Trên máy VPNSERVER, bạn cần cài đặt Routing and Remote Access Service. Mở Server Manager – Chọn Manage – Add Roles and Features
Nhấn Next
Nhấn Next
Nhấn Next
Đánh dấu check Remote Access
Nhấn nút Add Features để cài đặt các thành phần cần thiết
Nhấn Next
Nhấn Next
Đánh dấu check Direct Access and VPN (RAS) và Routing – Nhấn Next
Nhấn Next
Chấp nhận các thành phần cần cài đặt và nhấn Next
Nhấn Install
Nhấn Close sau khi quá trình cài đặt hoàn tất
4- Xin Certificate cho VPN Server
Để thực hiện chức năng VPN kết hợp với dịch vụ NAP, máy VPNSERVER cần có một Certificate loại Computer. Mở MMC
Chọn File – Add/Remove Snap-in…
Chọn Certificates – Nhấn Add
Chọn Computer account – Nhấn Next
Chọn Local computer – Nhấn Finish
Nhấn OK
Chọn Personal, kiểm tra máy này chưa có Certificate. Xin Certificate bằng cách bấm chuột phải Personal – All Tasks – Request New Certificate…
Nhấn Next
Nhấn Next
Chọn Certificate Template Computer – Nhấn Enroll
Kiểm tra quá trình xin Certificate thành công – Nhấn Finish
Kiểm tra Certificate bằng cách bấm chuột phải vào Certificate vừa xin được – Chọn Open
Kiểm tra thông tin Certificate – Nhấn OK
5- Cài đặt và cấu hình Network Policy Server
a- Cài đặt
Trên máy VPNSERVER, tiến hành cài đặt Network Policy Server
Để có thể kiểm tra các tiêu chuẩn về bảo mật, bạn cài đặt đặt NAP bằng cách cài đặt Network Policy Server (NPS). Trên máy VPNSERVER, mở Server Manager – Chọn Manage – Add Roles and Features
Nhấn Next
Nhấn Next
Nhấn Next
Chọn Network Policy and Access Services – Nhấn Next
Nhấn Add Features để cài đặt các chức năng cần thiết
Nhấn Next
Nhấn Next
Bảo đảm chọn Network Policy Server – Nhấn Next
Nhấn Install
Sau khi quá trình cài đặt thành công – Nhấn Close
Mở Network Policy Server
b- Cấu hình System Helth Validator
Đầu tiên bạn cần cấu hình System Health Validator nhằm qui định các tiêu chuẩn về bảo mật cần đặt ra đối với các VPN Client. Chọn Network Access Protection – System Health Validator – Windows Security Health Validator – Settings. Bấm phải chuột Default Configuration – Chọn Properties
Chọn Windows 8/Windows 7/ Windows Vista
Theo ví dụ của bài LAB này, tôi sẽ qui định điều kiện nhập IP cho tất cả các Client là phải bật Windows Firewall. Bỏ tất cả các dấu check, đánh dấu check A firewall enabled for all network connections – Nhấn OK
b- Tạo Health Policy
Tiếp theo tôi sẽ tạo 2 Health Policy nhằm định nghĩa 2 loại Client (bao gồm thỏa mãn điều kiện và không thỏa mãn điều kiện)
Chọn Policies – Health Policies – New
Trong khung Policy Name: Nhập tên tùy ý (tôi nhập là Compliance Clients)
Trong khung Client SHV checks: Chọn Client passes all SHV checks (có nghĩa là client thỏa mãn tất cả các điều kiện đã đưa ra trong cấu hình Security Health Validator)
Nhấn OK
Chọn Policies – Health Policies – New
Trong khung Policy Name: Nhập tên tùy ý (tôi nhập là Non-Compliance Clients)
Trong khung Client SHV checks: Chọn Client failed one or more SHV checks (có nghĩa là client không thỏa mãn một trong các điều kiện đã đưa ra trong cấu hình Security Health Validator)
Nhấn OK
Kiểm tra 2 Health Policy đã được tạo
c- Tạo Network Policy
Tiếp theo tôi sẽ tạo 2 Network Policy nhằm qui định hành động áp dụng đối với từng loại Client đã qui định ở trên. Trước tiên tôi cần disable hoặc xóa 2 Policy mặc định của NPS
Network Policy đầu tiên tôi sẽ tạo ra nhằm áp dụng cho các máy Client thỏa mãn điều kiện, đối với các Client này, hệ thống sẽ cấp quyền truy cập hoàn chỉnh và không có sự giới hạn nào. ChọnPolicies – Network Policies – New
Trong khung Policy Name: Nhập tên tùy ý, tôi nhập là Compliance Clients – Full Access – Nhấn Next
Trong khung Conditions (điều kiện) – Nhấn Add
Chọn Health Policies – Nhấn Add
Trong khung Health policies: Chọn policy Compliance Clients – Nhấn OK
Nhấn Next
Chọn Access granted – Nhấn Next
Bỏ tất cả các dấu check qui định các phương pháp chứng thực – Chọn Perform machine health check only – Nhấn Next
Nhấn Next
Chọn NAP Enforcement – Kiểm tra bảo đảm chọn mục Allow full network access – Nhấn Next
Nhấn Finish
Network Policy thứ hai tôi sẽ tạo ra nhằm áp dụng cho các máy Client không thỏa mãn điều kiện, đối với các Client này, hệ thống sẽ từ chối cung cấp dịch vụ. Chọn Policies – Network Policies – New
Trong khung Policy Name: Nhập tên tùy ý, tôi nhập là Non-Compliance Clients – Deny Access – Nhấn Next
Trong khung Conditions (điều kiện) – Nhấn Add
Chọn Health Policies – Nhấn Add
Trong khung Health policies: Chọn policy Non-Compliance Clients – Nhấn OK
Nhấn Next
Chọn Access denied – Nhấn Next
Bỏ tất cả các dấu check qui định các phương pháp chứng thực – Chọn Perform machine health check only – Nhấn Next
Nhấn Next
Chọn NAP Enforment – Bỏ dấu check Enable auto-remediation of client computers – Nhấn Next
Nhấn Finish
Kiểm tra 2 Network Policy đã được tạo
d- Tạo Connection Request Policy
Chọn Policies – Connection Request Policies – Xóa tất cả các Policy có sẵn
Chọn Policies – Connection Request Policies – New
Trong khung Policy Name: Đặt tên tùy ý (tôi đặt là VPN Connections)
Trong khung Type of network access server: Chọn Remote Access Server (VPN – Dial up)
Nhấn Next
Nhấn nút Add
Chọn Tunnel Type – Nhấn Add
Đánh dấu chọn các protocol Layer Two Tunelling Protocol (L2TP), Point-to-Point Tunelling Protocol (PPTP) và Secure Socket Tunelling Protocol (SSTP) – Nhấn OK
Nhấn Next
Nhấn Next
Đánh dấu check Override network policy authentication settings để cấu hình các phương pháp chứng thực và bỏ qua các qui định về phương pháp chứng thực đã qui định ở Network Policy – NhấnAdd
Chọn phương pháp chứng thực Microsoft: Protected EAP (PEAP) – Nhấn OK
Nhấn nút Add
Chọn phương pháp chứng thực Microsoft: Secure password (EAP-MSCHAP v2) – Nhấn OK
Cấu hình phương pháp chứng chực PEAP hỗ trợ dịch vụ NAP. Chọn Microsoft: Protected EAP (PEAP) – Nhấn Edit…
Đánh dấu check Enforce Network Access Protection – Nhấn OK
Nhấn Next
Nhấn Next
Nhấn Finish
Kiểm tra Connection Request Policy đã được tạo
6- Cấu hình VPN Client to Gateway
Trên máy VPNSERVER, mở Routing and Remote Access
Kiểm tra trạng thái server đang disable, nếu bạn đã cấu hình trước thì disable dịch vụ
Nếu thấy xuất hiện hộp thoại Getting Started Wizard như hình bên dưới thì bạn đóng lại
Bấm chuột phải tên server (VPNSERVER) - Configure and Enable Routing and Remote Access
Nhấn Next
Chọn Custom configuration – Nhấn Next
Đánh dấu check VPN access – Nhấn Next
Nhấn Finish
Hệ thống thông báo sẽ tự động tạo một Connection Request Policy mới trong NPS. Nhấn OK, tôi sẽ xóa policy này sau
Nhấn Start service
Bấm chuột phải tên server (VPNSERVER) – Properties
Sang Tab IPv4. Chọn phương pháp cấp IP ảo là Static address pool – Nhấn Add
Nhập dãy IP 172.16.0.100 – 172.16.0.110 – Nhấn OK
Nhấn OK
Mở Network Access Policy – Chọn Policies – Connection Request Policies – Refresh
Quan sát hệ thống tự tạo ra một Connection Request Policies như thông báo trước đó, bạn cần xóa Policy này đi.
Nhấn OK
7- Cấu hình NAP Client
Đối với các máy tính Client, để tương thích với dịch vụ NAP cũng cần thực hiện 2 thao tác cấu hình bao gồm Enable policy EAP Quarantine Enforcement Client và start service Network Access Protection Agent. Đối với các Client trong domain, bạn có thể thực hiện 2 thao tác này bằng cách cấu hình GPO (Xem phần 5 của bài viết này). Ngoài ra bạn cũng có thể cấu hình ngay trên client. trong bài LAB này tôi sẽ cấu hình trên máy Client.
Sang máy CLIENT1. Chọn Run – Nhập NAPCLCFG.MSC – OK
Chọn Enforcement Clients – Bấm chuột phải EAP Quarantine Enforcement Client – Chọn Enable
Kiểm tra policy đã được enable
Cập nhật policy bằng lệnh GPUPDATE /FORCE
Tiếp theo bạn cần start service Network Access Protection Agent. Chọn Run – Nhập SERVICES.MSC – OK
Bấm chuột phải service Network Access Protection Agent – Properties
Mục Startup type: Chọn Automatic
Nhấn nút Start – Nhấn OK
Kiểm tra hoạt động và trạng thái của service Network Access Protection Agent
8- Cấu hình Trust CA Server trên NAP Client
Các máy CLIENT muốn kết nối VPN và kiểm tra tiêu chuẩn bảo mật bằng dịch vụ NAP cần phải Trust CA Server (CA Server có tên trong danh sách Trusted Roor Certification Authority)
Trên máy DC2012, khảo sát tên CA đã đặt ở bước 2. Mở Certification Authority
Kiểm tra tên CA đã đặt là mcthub-CA
Sang máy CLIENT1 – Chọn Run – Nhập CERTMGR.MSC
Chọn Trusted Roor Certification Authority – Personal. Kiểm tra tên CA Server không có trong danh sách này. Nếu có thì bạn có thể bỏ qua bước tiếp theo
Cấu hình Trust CA Server
Để trust CA bạn cần download Certificate của CA để import vào danh sách Trusted Root Certification Authotiry.
Sang máy VPNSERVER, mở IE truy cập URL http://DC2012/CERTSRV. Chọn Download a CA certificate, certificate chain, or CRL
Chọn Download CA certificate
Nhấn Save
Nhấn Open Folder
Kiểm tra Certificate của CA Server đã download là file có tên CERTNEW.CER
Trên thực tế các máy CLIENT sẽ copy Certificate của CA thông qua USB hoặc đã được trust CA từ trong hệ thống mạng nội bộ. Trong môi trường LAB, tôi sẽ copy Certificate của CA thông qua việc truy cập trực tiếp.
Trên máy CLIENT, truy cập vào ổ C: của máy VPNSERVER
Cung cấp user name và password của domain Administrator
Mở thư mục Users – Administrator.MCTHUB – Downloads. Copy file CERTNEW.CER
Paste vào thư mục gốc đĩa C:\
Kiểm tra đã copy được Certificate của CA Server
Tiếp theo bạn cần import Certificate của CA Server vào danh sách Trusted Root CA. Mở Certificate Control bằng lệnh CERTMGR.MSC
Chọn Trusted Root Certification Authotiry – Certificates – All Tasks – Import
Nhấn Next
Nhấn Browse
Chọn file CERTNEW.CER – Nhấn Open
Nhấn Next
Nhấn Next
Nhấn Finish
Nhấn Yes
Nhấn OK
Kiểm tra máy CLIENT1 đã trust CA Server mcthub-CA
9- Tạo VPN Connection
Trên máy CLIENT1, để kết nối VPN và tương tho1ch với dịch vụ NAP, bạn cần tạo 1 VPN Connection và điều chỉnh một số thông số cần thiết. Mở Control Panel bằng lệnh CONTROL
Chọn Network and Internet
Chọn Network and Sharing Center
Chọn Setup a new connection or network
Chọn Connect to a workplace
Chọn Use my Internet connection (VPN)
Chọn I’ll setup an Internet connection later
Trong khung Internet address: Nhập IP External của VPN Server (máy RTR) là 10.10.0.1
Trong khung Destination name: Nhập tên tùy ý cho connection (tôi nhập là MCTHUB Connection)
Đánh dấu check Remember my credential
Nhấn Create
Tiếp theo bạn cần điều chỉnh một số thông số cho VPN Connection để tương thích với dịch vụ NAP. Mở Network Connection bằng lệnh NCPA.CPL
Chọn Connection MCTHUB Connection vừa tạo – Properties
Sang tab Secutiry – Trong khung Authentication: Chọn Use Extensible Authentication Protocol (EAP) – Chọn Microsoft: Protected EAP (PEAP) (encryption enabled) – Nhấn Properties
Đánh và bỏ các dấu check như hình bên dưới – Nhấn OK
Nhấn OK
10- Kiểm tra hoạt động của VPN và NAP
Trên máy CLIENT1, bật Windows Firewall để bảo đảm tiêu chuẩn của dịch vụ NAP
Kết nối VPN – Bấm phải chuột MCTHUB Connection – Chọn Connect / Disconnect
Chọn MCTHUB Connection – Nhấn Connect
Nhập Username và Password của Administrator – Nhấn OK
Nhấn Connect
Kiểm tra kết nối được khởi tạo thành công (trạng thái là Connected)
Mở Network Connection kiểm tra
Dùng lệnh IPCONFIG /ALL kiểm tra trạng thái là Not Restricted (truy cập không giới hạn)
Lần lượt PING 2 máy DC2012 (172.16.0.10) và SVR1 (172.16.0.21) đều cho kết quả Reply …
Tắt Windows Firewall
Quan sát VPN Connection sẽ tự động ngắt kết nối do client không thỏa mãn điều kiện của dich vụ NAP
Chủ động thực hiện kết nối lại
Chọn MCTHUB Connection – Nhấn Connect
Kiểm tra kết quả kết nối thất bại – Nhấn Close
11- Cấu hình giới hạn truy cập và kiểm tra
Tiếp theo tôi sẽ cấu hình giới hạn truy cập đối với các VPN Client không thỏa mãn điều kiện, cụ thể là nếu VPN Client không thỏa mãn điều kiện thì vẫn cho phép kết nối hệ thống VPN nhưng chỉ có thể truy cập giới hạn vào hệ thống mạng (chỉ liên lạc được với máy DC2012 – 172.16.0.10 nhưng không liên lạc được với các máy tính khác trong mạng). Sang máy VPNSERVER, mở Network Policy Server. Chọn Policies – Network Policies – Chọn policy Non-Compliance Clients – Deny Access – Chọn Properties
Tab Overview – Trong khung Policy Name: Đổi tên Policy thành Non-Compliance Clients – Restricted Access – Chọn Grant access
Tab Settings – Chọn NAP Enforcement – Chọn Allow limited access
Chọn IP Filters – Trong khung IPv4 – Nhấn nút Input Filters
Nhấn New
Đánh dấu check Destination network
Trong khung IP Address: Nhập 172.16.0.10
Trong khung Subnet mask: Nhập 255.255.255.255
Nhấn OK
Chọn Permit only the packets listed below (chỉ chấp nhận các gói tin đến địa chỉ đã qui định) – Nhấn OK
Trong khung IPv4 – Nhấn nút Output Filters
Nhấn New
Đánh dấu check Source network
Trong khung IP Address: Nhập 172.16.0.10
Trong khung Subnet mask: Nhập 255.255.255.255
Nhấn OK
Chọn Permit only the packets listed below (chỉ chấp nhận các gói tin từ địa chỉ đã qui định) – Nhấn OK
Nhấn OK
Sang máy CLIENT1, tắt Windows Firewall
Kết nối VPN. Chọn MCTHUB Connection – Connect/Disconnect
Chọn MCTHUB Connection – Connect
Kiểm tra kết nối vẫn thành công mặc dù CLIENT1 đã tắt Windows Firewall
Dùng lệnh IPCONFIG /ALL kiểm tra trạng thái là Restricted (truy cập bị giới hạn)
Lần lượt Ping 2 máy DC2012 (172.16.0.10) và SVR1 (172.16.0.21), quan sát chỉ ping được máy DC2012
Bật Windows Firewall
Dùng lệnh IPCONFIG /ALL kiểm tra trạng thái là Not Restricted (truy cập không giới hạn)
Lần lượt Ping 2 máy DC2012 (172.16.0.10) và SVR1 (172.16.0.21), quan sát tất cả các lệnh Ping đều thành công
Ngắt kết nối VPN
Chọn MCTHUB Connection – Nhấn Disconnect
12- Cấu hình tự động điều chỉnh và kiểm tra
Tiếp theo tôi sẽ cấu hình tự động điều chỉnh đối với các VPN Client không thỏa mãn điều kiện. Sang máy VPNSERVER, mở Network Policy Server. Chọn Policies – Network Policies – Chọn policyNon-Compliance Clients – Restricted Access – Chọn Properties
Sang Tab Settings – Chọn NAP Enforcement – Đánh dấu check Enable auto-remediation of client computers – Nhấn OK
Sang máy CLIENT1, kiểm tra đang tắt Windows Firewall
Kết nối VPN: Chọn MCTHUB Connection – Connect/Disconnect
Chọn MCTHUB Connection – Connect
Kiểm tra kết quả kết nối thành công
Kiểm tra Windows Firewall sẽ tự động bật – Chọn Turn Windows Firewall on or off để chủ động tắt Windows Firewall
Tắt Windows Firewall
Quan sát Windows Firewall lại tự động bật
Dùng lệnh IPCONFIG /ALL kiểm tra trạng thái là Not Restricted (truy cập không giới hạn)
Lần lượt PING 2 máy DC2012 (172.16.0.10) và SVR1 (172.16.0.21) đều cho kết quả Reply …
