Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy

Network Access Protection là một công nghệ mới có trong Windows Server 2008, cho phép bạn có thể điều khiển những máy tính nào được phép kết nối với các máy tính khác trong mạng của mình.
Nội dung trích xuất từ tài liệu:
Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - Phần 1Network Access Protection là một công nghệ mới có trong Windows Server2008, cho phép bạn có thể điều khiển những máy tính nào được phép kếtnối với các máy tính khác trong mạng của mình. Network Access Protection(hoặc NAP) cho phép bạn thiết lập các chính sách “sức khỏe” mà các máy tínhtrong mạng phải có đủ các yếu tố này trước khi được phép truy cập mạng. Cácmáy tính có đầy đủ các yêu cầu cần thiết đối với chính sách truy cập mạng sẽđược phép truy cập vào mạng. Còn trong trường hợp khác, máy tính có thểkhông hoặc bạn có thể cấu hình các chính sách để cho phép máy tính kết nối vớimáy chủ “điều đình lại” nhằm cho phép máy tính tính đó có thể dàn xếp và cốgắng kết nối trở lại mạng sau khi “sự điều đình” thành công.Có nhiều cách bạn có thể thi hành một chính sách NAP. Cách đơn giản nhất làsử dụng NAP với sự thi hành DHCP. Tuy nhiên, phương pháp này cũng là mộtphương pháp kém an toàn nhất vì người dùng có thể cấu hình một cách thủcông địa chỉ IP trên máy tính và vòng tránh được chính sách thực thi DHCP củaNAP. Phương pháp an toàn nhất cho sự thi hành NAP chính là IPsec. Khi sửdụng thực thi IPsec NAP và đồng thuận với chính sách truy cập NAP thì máytính sẽ được cấp phát một chứng chỉ sức khỏe để cho phép tạo một kết nốiIPsec an toàn với các máy tính khác trên mạng “ảo” NAP. Tuy nhiên, NAP vớithực thi IPsec lại là một cấu hình phức tạp nhất trong các phương pháp.Bản thân NAP cũng là một công nghệ khá phức tạp với hàng trăm thành phần.Khi sử dụng NAP với thực thi IPsec, bạn sẽ thấy có nhiều phần và việc khắcphục sự cố trở nên đơn giản hơn rất nhiều. Cũng có một sự phụ thuộc đối vớiGroup Policy, điều đó làm tăng sự phức tạp của giải pháp, nguyên nhân gây rađiều đó là bạn thường cần phải khắc phục các vấn đề với Group Policy khi triểnkhai NAP.Tất cả các khó khăn và thách thức ở trên không khiến chúng ta nản chí mà ýchúng tôi muốn nhấn mạnh ở đây là khi thực hiện triển khai này bạn phải biết vềcác thiết lập phức tạp và cấu hình của nó, để từ đó kiên nhẫn và test thật cẩnthận trong quá trình triển khai. Càng dành nhiều thời gian để test và tìm hiểucách làm việc của giải pháp thì bạn sẽ càng thành công trong quá trình triển khaicủa mình.NAP với sự thực thi chính sách IPsec sẽ là một phương pháp rất mạnh trongtriển khai giải pháp NAP của bạn. bạn sẽ có hai giải pháp trong một: giải phápthứ nhất là có được sự kiểm soát truy cập mạng NAP để cho phép bạn có thểkhóa các máy tính không đảm bảo đủ các tiêu chí về “sức khỏe” kết nối vàomạng và thứ hai đó là bạn sẽ lợi dụng trong việc cách ly miền IPsec để từ đó cóthể ngăn chặn các máy tính lừa bịp kết nối vào mạng của mình. NAP với việccách ly miền IPsec sẽ cho phép bạn tạo một mạng ảo bên trong biên giới cácmạng vật lý của bạn. Các máy tính trong mạng riêng ảo IPsec có thể nằm trêncùng một đoạn mạng hoặc đoạn VLAN nhưng được chia đoạn ảo với nhau bằngIPsec. Các máy tính không có chứng chỉ “sức khỏe” IPsec sẽ không thể truyềnthông với các máy tính “khỏe mạnh” trong mạng.Trong phần này chúng tôi sẽ giới thiệu cho các bạn từ việc khởi đầu đến kết thúcquá trình triển khai giải pháp NAP bằng thực thi chính sách IPsec. Môi trườngban đầu rất đơn giản, các bạn có thể thấy trong hình bên dưới. Hình 1Các máy tính mà chúng ta đang sử dụng trong mạng ví dụ là:WIN2008DCĐây là máy tính Windows Server 2008 phiên bản Enterprise, máy tính này đóngvai trò bộ điều khiển miền msfirewall.org. Chỉ có một role máy chủ đã cài đặttrên máy tính này là Certificate Authority server role. Chúng tôi đã tạo trên máytính này một Enterprise Root CA. Nếu các bạn muốn mirror cấu hình này, trướctiên hãy một máy đóng vai trò điều khiển miền, sau đó sẽ thăng quyền thànhđiều khiển miền, cài đặt role CA và chọn tùy chọn Root CA. Nếu bạn muốnmirror một cấu hình CA doanh nghiệp, hãy đặt tên của nó là CA msfirewall-WIN2008DC-CA.WIN2008SRV1Đây là máy tính chạy hệ điều hành Windows Server 2008 phiên bản Enterprisevà là một máy chủ thành viên trong miền msfirewall.org. Không có role máy chủnào cấu hình trên máy này. Chúng ta sẽ cài đặt NPS server role trên nó và làmcho nó trở thành máy CA cấp thấp hơn, tuy nhiên nếu bạn muốn xây dựng labnày, hãy cài đặt Windows Server 2008 trên máy tính và thực hiện theo cáchướng dẫn như chúng tôi giới thiệu trong loạt bài này.VISTASP1Đây là máy tính chạy hệ điều hành Vista SP1. Máy tính này được gia nhập vàomiền msfirewall.org. Chúng tôi đã sử dụng một cài đặt Vista mặc định và sauđó cài đặt SP1. Nếu bạn đã có một cài đặt SP1 từ trước thì điều đó không có gìphải đề cập.VISTASP1-2Đây là máy tính chạy hệ điều hành Vista, giống như VISTASP1. Máy tính nàyđược cài đặt trong một nhóm làm việc có tên WORKGROUP. Chúng ta sẽ nhậpmáy tí ...