Giới thiệu bổ sung về Network Access Protection - Phần 2
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (345.35 KB, 6 trang )
Giới thiệu bổ sung về Network Access Protection - Phần 2
Ngu
ồn : quantrimang.com
Brien M. Pose
y
Quản trị mạng - Phần đầu trong loạt bài này, chúng tôi đã giới thiệu về
Network Access Protection là gì và tại sao nó lại quan trọng đến vậy. Còn
trong phần này, chúng tôi sẽ tiếp tục thảo luận bằng cách giới thiệu cho
các bạn về cách chuẩn bị một cơ sở hạ tầng mạng cho việc sử dụng
Network Access Protection.
Cơ sở hạ tầng mạng cho Network Access Protection
Việc thực thi cơ
sở hạ tầng mạng yêu cầu đến một vài máy chủ, mỗi một máy
chủ ở đây sẽ thực hiện một vai trò nào đó. Như những gì các bạn thấy trong
hình bên dưới, chúng ta sẽ sử dụng một Routing và Remote Access Server, một
domain controller và một Network Policy Server.
Hình A: Thực thi NAP yêu cầu tới một vài máy chủ
Như những gì bạn thấy trong hình trên, Windows Vista client đang được kết nối
với máy chủ Windows Server 2008 (máy chủ đang chạy dịch vụ Remote Access
(RRAS)). Máy chủ này đóng vai trò như một VPN server cho mạng. Windows
Vista client thiết lập một kết nối với máy chủ VPN này theo cách thức thông
thường.
Khi người dùng từ xa kết nối với máy chủ VPN, các chứng chỉ của họ phải hợp
lệ bằng RADIUS protocol. Máy chủ chính sách mạng sẽ xác định chính sách
“sức khỏe” nào đang bị gây ảnh hưởng và điều gì s
ẽ xảy ra nếu máy khách từ xa
không thỏa mãn chính sách này.
Trong môi trường thí nghiệm, một máy chủ vật lý có thể được sử dụng để cấu
hình cho cả Routing and Remote Access Service role và Network Policy Server
role. Trong các máy chủ VPN thực tế tồn tại ở các mạng vành đai đôi khi độ bảo
mật sẽ kém đi với mạng nếu bạn cấu hình máy chủ chính sách mạng trên máy
chủ này.
Domain ControllerNếu quan sát vào sơ đồ thể hiện trong hình A bạn sẽ thấ
y
rằng một trong các máy chủ yêu cầu là domain controller. Máy chủ này không
phải là một máy chủ đơn thuần mà đúng hơn là toàn bộ một cơ sở hạ tầng
Active Directory. Như những gì bạn đã biết, Active Directory không thể hoạt động
mà không có máy chủ DNS. Nếu sơ đồ này là một trường hợp của mạng thực thì
domain controller phải cấu hình các dịch vụ DNS. Các tổ chức thường sử dụng
nhiều bộ
điều khiển miền và các máy chủ DNS chuyên dụng.
Những yêu cầu về cơ sở hạ tầng phụ không thể hiện trong hình vẽ trên là
Enterprise Certificate Authority. Tuy nhiên, Windows có thể được cấu hình để
thực hiện theo khả năng như vậy. Trong loạt bài này, chúng tôi sẽ cấu hình
domain controller để thực hiện như một bộ phận thẩm định chứng chỉ doanh
nghiệp. Nếu đây là một triển khai thực củ
a bạn thì bạn sẽ sử dụng các máy chủ
chuyên dụng để thẩm định chứng chỉ doanh nghiệp với những lý do về của các
chứng chỉ số.
Cài đặt thẩm định chứng chỉ doanh nghiệp (Enterprise Certificate
Authority)
Thủ tục cho việc triển khai một bộ thẩm định chứng chỉ doanh nghiệp khác nhau
tùy thuộc vào những gì bạn sẽ cài đặt các dịch vụ trên Windows 2003 server
hoặc Windows 2008 server. Do một m
ục đích của bài viết là làm sao thân thiện
với bạn đọc nhất với Windows 2008 Server nên thủ tục dưới đây được dự định
cho việc cài đặt các dịch vụ chứng chỉ trên Windows Server 2008.
Trước khi giới thiệu cho các bạn cách cài đặt các dịch vụ chứng chỉ, bạn cần lưu
ý rằng trong triển khai thực bạn sẽ sử dụng các thông số cực độ để bảo đảm cho
bộ thẩm định chứng chỉ doanh nghiệp của bạn được an toàn. Nếu ai đó thỏa
hiệp với nó, họ sẽ sở hữu mạng của bạn. Vì bài viết này chỉ tập trung vào
Network Access Protection chứ hoàn toàn không tập trung vào các dịch vụ của
chứng chỉ nên chúng tôi sẽ giới thiệu cho các bạn một chút về các dịch vụ chứng
chỉ. Trong triển khai thực, bạn sẽ muốn có được khả n
ăng cấu hình cho máy
chủ.
Bắt đầu quá trình triển khai bằng việc mở Server Manager của Windows 2008
Server và chọn tùy chọn Roles từ cây giao diện điều khiển. Tiếp đến, kích vào
liên kết Add Roles trong phần Roles Summary của giao diện điều khiển. Thao
tác này sẽ làm cho Windows khởi chạy Add Roles Wizard. Kích Next để đi qua
cửa sổ Welcome của wizard. Lúc này bạn sẽ thấy một danh sách tất cả các role
như thể hiện trong hình B. Chọn tùy chọn Active Directory Certificate Server từ
danh sách. Kích Next để
tiếp tục.
Hình B: Windows liệt kê tất cả các role có sẵn cho bạn
Ở đây, bạn sẽ gặp một cửa sổ giới thiệu cho bạn về các dịch vụ chứng chỉ và
cung cấp một số chú ý cần thiết. Kích Next để bỏ qua cửa sổ này, bạn sẽ gặp
một cửa sổ khác, cửa sổ này sẽ hỏi bạn về các thành phần nào muốn cài đặt.
Chọ
n các hộp kiểm Certification Authority và Certificate Authority Web
Enrollment
Bạn sẽ thấy một cửa sổ tương tự như cửa sổ xuất hiên trong hình C, cửa sổ này
thông báo cho bạn rằng một số role bổ sung phải được cài đặt trước để cài đặt
Certificate Authority Web Enrollment Role. Kích nút Add Required Role Service,
sau đó kích Next.
Hình C: Certificate Services Web Enrollment Role không thể làm việc mà không
có IIS
Một cửa sổ sẽ xuất hiện hỏi bạn xem có thích tạo một certificate authority doanh
nghiệp hoặc một certificate authority chuẩn. Chọn tùy chọn Enterprise Certificate
Authority và kích Next. Khi
đó bạn sẽ được nhắc nhở về sử dụng máy chủ này
như một Root CA hay Subordinate CA. Do đây chỉ là certificate authority trong thí
nghiệm nên bạn chọn tùy chọn Root CA. Kích Next để tiếp tục.
Wizard sẽ hỏi bạn có muốn tạo một private key mới hay sử dụng private key hiện
có hay không. Cũng do thực hiện trong cài đặt thử nghiệm nên chúng ta hãy
chọn tùy chọn tạo private key mới và kích Next để tiếp tục.
Cửa sổ tiếp theo mà bạ
n bắt gặp sẽ hỏi bạn sẽ tạo một private key mới hoặc sử
dụng private key hiện có. Do không có private key tồn tại từ trước nên bạn hãy
chọn tùy chọn tạo private key mới và kích Next.
Lúc này bạn sẽ thấy một cửa sổ giống như thể hiện trong hình D, cửa sổ này hỏi
bạn về chọn nhà cung cấp dịchvụ mã hóa, độ dài khóa và thuật toán “hash”. Vì
chúng ta sẽ thiết lập certificate authority này với mục đích minh chứng nên hãy
chọn các tùy chọn mặc định và kích Next.
Hình D: Chọn các tùy chọn mã hóa thích hợp cho triển khai thực để đảm bảo
vấn đề bả
o mật
Cửa sổ tiếp theo các bạn gặp sẽ cho bạn một sự lựa chọn để định nghĩa tên
chung và hậu tố tên phân biệt cho certificate authority, ở đây bạn cũng chọn mặc
định và kích Next.
Bạn sẽ thấy một cửa sổ hỏi về khoảng thời gian mà các chứng chỉ vẫn còn hợp
lệ. Chu kỳ thời gian mặc định này là 5 năm, ở thực hành này không quan trọng
về vấn đề này nên chúng ta chỉ cần kích Next. Cửa sổ tíêp theo sẽ hỏi bạn về
địa điểm đặt các cơ sở dữ liệu và các bản ghi phiên liên lạc tương ứng. Trong
môi trường sản xuất, việc chọn một địa điểm thích hợp rất quan trọng để cho
việc chuyển đổi dự phòng và bảo mật. Do đây là thực hành thử nghiệm nên
chúng ta chỉ cần chọ
n theo mặc định và kích Next.
