[Lab] Triển khai NPS - Network Policy Server - Part 1

thanhtung0601

Internship/Fresher
Jul 19, 2015
14
0
0
Một trong những phương pháp quan trọng để bảo mật thông tin và dữ liệu là kiểm tra tình trạng an toàn của các máy tính trước khi cho phép chúng truy cập vào mạng LAN. Do đặt thù thiết kế của hệ thống DHCP Server, hiện nay hầu hết các hệ thống mạng LAN nói chung tồn tại một thực trạng là một số máy tính (PC, Laptop) chưa đảm bảo các điều kiện an toàn nhưng khi kết nối vào mạng LAN vẫn được cấp phát địa chỉ IP và truy cập mọi tài nguyên trong mạng LAN (nếu được phân quyền). Một số điều kiện chưa đảm bảo an toàn của máy tính như sau:
  • Chưa bật tính năng Firewall: Domain, Private, Public
  • Chưa cài đặt chương trình diệt virus
  • Chưa update chương trình diệt virus lên phiên bản mới nhất
  • Chưa cài đặt chương trình bảo vệ chống spyware
  • Chưa update chương trình chống spyware lên phiên bản mới nhất
  • Chưa cho phép máy tính ở chế độ cập nhật các bản vá
  • Chưa cập nhật đầy đủ các bản vá về security cho các máy tính

    Khi một Client không đảm bảo các tiêu chuẩn an toàn khi truy cập vào mạng sẽ dẫn đến các nguy cơ, sự cố như:
  • Khi các máy tính bị nhiễm virus sẽ làm cho các file trong máy như word, excel, power point cũng bị nhiễm virus theo. Sau đó, người dùng tải các file đã nhiễm mã độc lên hệ thống cơ sở dữ liệu dùng chung như thư mục FTP, thư mục chung của phòng ban… Lúc này, virus sẽ lây lan qua các máy tính khác trong mạng LAN.
  • Khi máy tính bị nhiễm spyware, các spyware sẽ thông qua mạng LAN thu thập các thông tin nội bộ trong mạng, từ cấu hình mạng, thông tin các máy chủ, các file tài liệu….
  • Khi máy tính đã cài các chương trình diệt virus và spyware nhưng chưa cập nhật lên phiên bản mới nhất thì khả năng bị tấn công từ các phần mềm độc hại cũng rất cao vì số lượng các mã độc, virus, spyware liên tục được tăng lên theo từng ngày và mức độ phức tạp cũng như khả năng phá hoại ngày càng cao hơn.
  • Khi các Firewall bị tắt, các tin tặc có thể lợi dụng để tấn công vào các máy Client. Do lúc này, các port trên máy Client đã được mở hết và tin tặc có nhiều lựa chọn hơn để tấn công và xác suất thành công cũng sẽ cao hơn.
  • Khi máy Client chưa cài đặt đầy đủ các bản vá lỗi, đặc biệt là các bản vá lỗi security, tin tặc sẽ lợi dụng các lổ hổng bảo mật đó để tấn công chiếm quyền điều khiển (người sử dụng không biết được máy tính mình đã bị chiếm do vẫn thao tác được bình thường). Từ đó, tin tặc có thể thu thập các thông tin về mạng LAN thông qua máy Client.

1. Nội dung thực hiện

Giải pháp chính là cài đặt một Network Policy Server (NPS) thực hiện kiểm tra các tiêu chuẩn về an toàn cho các máy Client trong mạng LAN gồm các PC đã join domain, các Laptop kết nối đến mạng LAN có dây và mạng LAN không dây. Thiết lập các chính sách trên NPS như: các tiêu chuẩn về an toàn, các chính sách mạng, chính sách sức khỏe…Thiết lập chính sách NAP trên DHCP ServerThiết lập chính sách trên Domain Controller để áp đặt các PC trong Domain bật chế độ kiểm tra các tiêu chuẩn an toàn – NAPThiết lập các PC, Laptop chưa join Domain bật chế độ kiểm tra các tiêu chuẩn an toàn – NAP

Mô hình kỹ thuật


Các thành phần cơ bản trong hệ thống mạng LAN:
  • Server giữ chức năng Domain Controller cũng chính là server giữ các chức năng DHCP cấp phát IP, chức năng NPS điều khiển truy cập mạng và chức năng GPM quản lý chính sách nhóm
  • Server giữ chức năng Remediation Server cũng là WSUS Server chứa các bản vá lỗi hệ điều hành và các phần mềm diệt virus, spyware với phiên bản mới nhất cho các Client trong mạng LAN
  • PC của nhân viên đã join Domain
  • Laptop của nhân viên chưa join Domain kết nối với mạng có dây LAN
  • Laptop của nhân viên chưa join Domain kết nối với mạng không dây LAN
  • Điểm truy cập không dây – Wireless Access Point vào mạng LAN

Nguyên lý hoạt động
Nguyên lý hoạt động của hệ thống như sau:
  • Đầu tiên các PC và Laptop tham gia hệ thống mạng LAN phải được bật tính năng cho phép Network Access Protection – NAP
  • Các máy PC đã join Domain sẽ được bật NAP một cách tự động bằng cách sử dụng chính sách quản lý nhóm GPM
  • Các Laptop chưa join Domain kết nối vào mạng LAN bằng dây hoặc wifi bật NAP bằng cách chạy một script nhận được từ quản trị viên
  • Trên Server Domain Controller cài đặt hai role services
    • DHCP được bật tính năng NAP để cấp phát địa chỉ IP
    • NPS để điều khiển truy cập mạng
  • Các Client khi kết nối vào mạng sẽ được kiểm tra tính năng NAP, kiểm tra độ an toàn theo các chính sách sức khỏe – Health Policies trên NPS. Tùy vào “sức khỏe” mà Client sẽ được NPS áp dụng các chính sách mạng – Network Policies khác nhau. Cụ thể:
  • Client chưa bật NAP sẽ không nhận được địa chỉ IP và hoàn toàn cô lập với mạng LAN
  • Client bật NAP nhưng không đạt chuẩn về sức khỏe sẽ nhận được địa chỉ IP với quyền truy cập bị giới hạn, chỉ được truy cập đến các Remediation Server để thực hiện cập nhật đầy đủ các yêu cầu về sức khỏe. Sau đó, Client mới được toàn quyền truy cập mạng LAN
  • Client bật NAP và đầy đủ các tiêu chuẩn về sức khỏe sẽ nhận được địa chỉ IP với toàn quyền truy cập mạng LAN
Các khái niệm cơ bản
Trọng tâm là cài đặt và cấu hình Network Policy Server (NPS). Do đó, chúng ta sẽ tìm hiểu các khái niệm cơ bản trong NPS như sau:
Chính sách - Policies
  • Các chính sách yêu cầu kết nối - Connection Request Policies
Các chính sách yêu cầu kết nối là một tập các điều kiện (conditions) và thiết lập (settings) cho phép xác thực các yêu cầu kết nối nhận được từ các Client.
  • Các chính sách mạng - Network Policies
Các chính sách mạng là một tập các điều kiện (conditions), các ràng buộc (constraints) và thiết lập (settings) cho phép Client xác thực được quyền truy cập vào mạng ở một mức độ nào đó như: không được phép truy cập, được phép truy cập ở mức độ giới hạn, được toàn quyền truy cập mạng. Chính sách mạng thường đi kèm với chính sách sức khỏe. Dựa vào việc kiểm tra “sức khỏe” của các Client, chúng ta sẽ cấp phép quyền truy cập vào mạng LAN cho các Client.Trong NPS, có hai chính sách được kích hoạt một cách mặc định: Connections to Microsoft Routing and Remote Access Server PolicyConnections to Other Access Servers Policy. Chúng ta nên vô hiệu hóa các chính sách này trước khi thiết lập các chính sách mạng mới.
  • Các chính sách sức khỏe - Health Policies
Các chính sách sức khỏe bao gồm một hoặc nhiều các tiêu chuẩn sức khỏe hệ thống – SHA, các máy Client sẽ gửi đi các thông tin về trạng thái sức khỏe (Statement of Health - SoH) đến NPS. SoH là một bản báo cáo trạng thái của các Client và NPS sẽ so sánh nó với những yêu cầu trong chính sách sức khỏe. Nếu như trạng thái của Client không phù hợp với các yêu cầu về chính sách sức khỏe, NPS sẽ thực hiện các hành động được thiết lập sẵn như:
  • Yêu cầu kết nối của Client sẽ bị từ chối
  • Client được truy cập mạng nhưng ở vùng mạng restricted. Tại vùng mạng này, Client chỉ có thể liên lạc được với các Server thuộc nhóm Remediation Server để thực hiện cập nhật đầy đủ các tiêu chuẩn về sức khỏe trước khi được toàn quyền truy cập vào mạng
  • Client sẽ được phép toàn quyền truy cập vào mạng mặc dù các tiêu chuẩn về chính sách sức khỏe chưa được đảm bảo

Bảo vệ truy cập mạng - Network Access Protection
  • Các tiêu chuẩn sức khỏe hệ thống - System Health Validators (SHA)
Các tiêu chuẩn sức khỏe hệ thống dùng để kiểm tra tình trạng của các máy Client có được kết nối mạng hay không. Các tiêu chuẩn sức khỏe gồm:

  • [*=1]Bật Firewall
    [*=1]Cài đặt Antivirus và cập nhật Antivirus lên phiên bản mới nhất
    [*=1]Cài đặt phần mềm chống Spyware và cập nhật phần mềm chống Spyware lên phiên bản mới nhất
    [*=1]Bật tính năng update các bản vá lỗi
    [*=1]Cài đặt các bản vá lỗi về Security, mức độ các bản cập nhật Security, nơi cập nhật các bản vá lỗi: từ Internet hay từ WSUS Server

  • Nhóm Server hỗ trợ - Remediation Server Groups
Là nhóm các Server mà Client được phép truy cập khi chưa thỏa mãn các điều kiện trong chính sách sức khỏe. Khi đó, các Client chỉ có thể kết nối được với nhóm Server trong Remediations Server Groups để thực hiện việc cài đặt phần mềm diệt virus, spyware, cập nhật các bản vá từ WSUS Server…


  1. CÁC BƯỚC TRIỂN KHAI
    Cài đặt NPS trên Domain Controller Windows Server 2008
Quá trình cài đặt NPS gồm: cài đặt role services Network Policy Server (NPS)Các bước thực hiện như sau:VàoComputer > Manager, trong cửa sổ Server Manager, chuột phải Roles >Add Roles


Tại cửa sổ
Add Roles Wizard > Before You Begin, chọn Next cho đến cửa sổ Select Role Services

Chọn Network Policy Server, sau đó chọn Next


Chọn
Install và chờ quá trình cài NPS
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu