Embed Size (px)
DESCRIPTION
Windows Server 2008 NAP 整合 802.1x 網路安全控管. 顧武雄 台灣微軟特約資深講師 [email protected]. Windows Server 2008 NAP 課程. 預備知識. 使用過 Windows Server 2008 了解 Active Directory 架構. Level 200. 課程大綱. NAP for 802.1x 架構介紹 802.1x 設備組態配置 NAP for 802.1x 原則設定 NAP for 802.1x 用戶端設定 NAP for 802.1x 用戶端連線測試 - PowerPoint PPT Presentation
Citation preview
顧武雄台灣微軟特約資深講師[email protected]
Windows Server 2008Windows Server 2008NAPNAP 整合整合 802.1x802.1x網路安全控網路安全控管管
Windows Server 2008 NAP課程課程名稱 時間NAP 整合 VPN 網路安全控管 6/12NAP 整合終端機服務安全控管 6/19NAP 整合 802.1x 網路安全控管 6/26
Level 200
預備知識• 使用過 Windows Server 2008
• 了解 Active Directory 架構
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
NAP for 802.1x運作元件
建立 NAP for 802.1x測試環境
三種 802.1x網路保護法• 將非法用戶端隔離至特定的 VLAN
–網路設備必須支援動態 VLAN
• 使用 IP 篩選器進行有限資源存取控管• 直接拒絕存取(連接埠由綠燈變橘燈)
–用戶端電腦需要重新拔插連接網路線
建構以 VLAN的隔離法• 必須在初始的 VLAN 中規劃 DHCP 服務
–VLAN1 :初始預設連線的 VLAN ,可置放矯正伺服器–VLAN2 :置放隔離用戶端的 VLAN
–VLAN3 :置放合法用戶端與網路資源的 VLAN
• 請透過 ACLs 將 VLAN2 與 VLAN3 設為無法相互存取• 用戶端必須以 DHCP 方式連線網路
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
VLAN網路位址配置• 以 Cisco Catalyst 3560G 為範例• 使用 Cisco Network Assistant 介面設定
–或 IOS 命令
啟用設備連接埠的 AAA設定• AAAAAA= Authentication 、 Authorization 、 Accounting
設定 RADIUS伺服器連線• NPS 主機 =RADIUS 伺服器• 802.1x 設備 = RADIUS 用戶端• 設定方法
–radius-server host 192.168.2.1 auth-port 1812
acct-port 1813 key 1234
DHCP Relay設定• 以 ip helper-address 命令指向位在 VLAN1 網路中的
DHCP 伺服器
變更 Supplicant Timeout設定• 預設 supp-timeout=5 秒• 建議設定在 15 以上,避免 NAP 的健康狀態訊息( SoH ),還
來不及透過此交換器完成驗證動作就已經逾時,而導致經常無法成功連線的問題。
重新驗證間隔時間 (選用 )
• 預設 reauthentication 功能 =Disable–使用 dot1x reauthentication 命令來啟用
• 啟用後預設時間 =6 分鐘–使用 dot1x timeout reauth-period 秒數
• 請注意!每一次的重新驗證作業都會讓 NPS 主機上,產生新的合法驗證或非法驗證事件。
啟用 Port Fast
• 縮短預設需 30 秒進入連線狀態的問題
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
NPS健康原則設定• 設定健康狀態檢驗程式
NAP for 802.1x原則配置( 1/5)
NAP for 802.1x原則配置( 2/5)
NAP for 802.1x原則配置( 3/5)
NAP for 802.1x原則配置( 4/5)
VLAN3 – 合法網路
NAP for 802.1x原則配置( 5/5)• 回到了 [RADIUS標準屬性 ]頁面,請切換到 [特定廠商屬性 ]頁面。
繼續設定!
VLAN2 : 隔離的網路
NAP for 802.1x原則設定
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
NAP for 802.1x用戶端設定• 可以群組原則統一配置• 可以採手動設定每一部用戶端
–Windows XP SP3設定會比較複雜
群組原則設定 NAP用戶端• 啟用 EAP隔離強制用戶端• 啟用Wired AutoConfig服務(自動)• 啟用 Network Access Protection Agent服務(自動)• 啟用資訊安全中心
設定用戶端有線區域網路• 啟用 IEEE 802.1x驗證
關於Windows Vista 的 802.1x設定• 使用 Active Directory 群組原則來統一配置• 以命令工具語法 netsh lan 來設定 802.1x 的組
態–http://go.microsoft.com/fwlink/?LinkId=70195
802.1x用戶端設定方法
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
查看動態 VLAN狀態
VLAN1 : NAP 用戶端尚未連接到網路設備!VLAN2: 遭隔離的 NAP用戶端
測試拒絕非法用戶端連線修改不符合標準的原則設定!
已被 NAP拒絕連線的 802.1x用戶端!
NAP for 802.1x用戶端展示
NAP事件檢視隔離用戶端事件
合法用戶端事件
拒絕用戶端事件
隔離或拒絕事件 Email通知• 簡易作法
–直接在 NPS 主機事件上附加 Email 通知工作–IT 無法第一時間掌握到是哪一部電腦無法連線
• 絕佳作法–整合 System Center Operations Manager 2007
• 在這一些重要的用戶端電腦上安裝 SCOM Agent• 當 NAP 隔離或拒絕事件發生時以 IM 或 Email 通知 IT 人員• 優點 : 可讓 IT 立即掌握到哪一部電腦無法連線!
使用效能監視器• NPS 系統健康狀態驗證• NPS 遠端驗證伺服器• NPS 遠端帳戶處理伺服器• NPS 原則引擎• NPS 驗證伺服器• NPS 驗證 Proxy• NPS 驗證用戶端• NPS 帳戶處理伺服器• NPS 帳戶處理 Proxy• NPS 帳戶處理用戶端
NAP網路運作的監控
Q&A
更多參考資訊…• TechNet
www.microsoft.com/taiwan/technet
• TechNet 技術論壇www.microsoft.com/taiwan/technet/forum
• Windows Server 2008www.microsoft.com/taiwan/windowsserver2008
• 顧大俠的 Blog tw.myblog.yahoo.com/chivalrous_ku/
