همه آموزش ها با 50 درصد تخفیف تو جشنواره بهاره توسینسو
50 درصد تخفیف
مانده تا پایان تخفیف ها
مانده تا پایان تخفیف ها
anooshka

آموزش راه اندازی RADIUS سرور در ویندوز سرور 2008 - قسمت اول

پروتكل RADIUS برگرفته شده از (Remote Authentication Dial-In User Service) ، استانداردی برای طراحی و پياده سازی سرويس دهندگانی است كه مسئوليت تائيد و مديريت كاربران را برعهده خواهند گرفت.مشخصات و نحوه عملكرد پروتكل RADIUS در RFC 2865 و RFC 2866 تعريف شده است. پروتكل RADIUS از يك معماری سرويس گيرنده - سرويس دهنده برای تائيد و accounting استفاده می نمايد . پروتكل فوق اطلاعات accounting ، پيكربندی ، تائيد و مجوزها را بين يك سرويس گيرنده RADIUS و يك سرويس دهنده RADIUS حمل می نمايد . سرويس گيرنده RADIUS می تواند يك سرويس دهنده دستيابی شبكه ( NAS ، برگرفته شده از network access server ) و يا هر نوع دستگاه مشابه ديگری باشد كه نيازمند تائيد و accounting است.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
برای مشاهده تخفیف های ویژه امروز کلیک کنید
سرفصل های این مطلب
  1. اعمال سیاستهای شبکه ای NPS
  2. پیکربندی یک سیاست شبکه NPS
  3. پیکربندی شرایط اعمال سیاست
  4. پیکربندی تنظیمات اعمال سیاست
  5. انتخاب پروتکل احراز هویت
  6. پیکربندی دسترسی بی سیم

همانگونه كه اشاره گرديد NAS به عنوان يك سرويس گيرنده RADIUS عمل می نمايد . سرويس گيرنده مسئول ارسال اطلاعات كاربر برای سرويس دهنده RADIUS است تا بر اساس نتايج برگردانده شده توسط سرويس دهنده ، در خصوص كاربر تعيين تكليف گردد . سرويس دهندگان RADIUS مسئول دريافت درخواست ارتباط كاربر ، تائيد وی و ارسال اطلاعات پيكربندی مورد نياز برای سرويس گيرنده به منظور عرضه سرويس به كاربر می باشند . يك سرويس دهنده RADIUS می تواند به عنوان يك سرويس گيرنده پراكسی به ساير سرويس دهندگانRADIUS و يا ساير سرويس دهندگان تائيد نيز عمل نمايد. سرويس گيرندگان RADIUS از طريق پورت های 1812 و 1813 پروتكل حمل UDP برگرفته شده از (User Datagram Protocol ) با يك سرويس دهنده RADIUS ارتباط برقرار می نمايند . در نسخه های اوليه پروتكل RADIUS از پورت های 1646 و 1645 پروتكل UDP استفاده می گرديد . پروتكل RADIUS از پروتكل حمل TCP برگرفته شده از (Transmission Control Protocol ) حمايت نمی نمايد. پس از اینکه یک کاربر اعتبار لازم جهت ایجاد یک ارتباط دسترسی از راه دور را فراهم نمود، این ارتباط باید توسط یک سرور، ویندوز سرور 2008 که اجرا کننده سرویس Network Policy Server) NPS) باشد تصویب شود، و یا توسط یک سرویس احراز هویت و تصدیق هویت دیگری مثل Remote Authentication Dial-In User Service (RADIUS) تصویب شود. مجوز دسترسی از راه دور شامل دو مرحله می باشد:

  1. ارزیابی مشخصات شماره گیری مرتبط با کاربر
  2. ارزیابی هر گونه NPS که در مقابل RRAS اعمال می شود.

پیاده سازی یک سرور RADIUS یک NPS می باشد . از یک سرور RADIUS به منظور متمرکز سازی عملیات احراز هویت (authentication) ، تصدیق هویت (authorization) و ورود کاربر استفاده نمایید. زمانی که شما یک سرورRADIUS را پیاده سازی می کنید ، چندین کامپیوتر اجرا کننده سرویس RRAS می توانند درخواستهای در دسترس خود را به سرور RADIUS ارسال نمایند. و سپس سرور RADIUS برای انجام فرایند تصدیق و اعمال NPS به درخواستهای ارتباط با دامین کنترلر تماس گرفته و برای آن درخواست ارسال می کند.مفاهیم احراز هویت و تصدیق هویت اغلب مورد اشتباه قرار می گیرند. احراز هویت فرآیندی است که ارزیابی می کند موجودیت یا شیء خاصی نسبت به آنچه ادعا می کند چیست و یا کیست .مثال ها شامل تطابق منبع اطلاعات و تمامیت و درستی اطلاعات می باشد مثل ارزیابی یک امضای دیجیتالی یا ارزیابی شناسه یک کاربر یا یک کامپیوتر ، تصدیق هویت فرآیندی است که مشخص می کند یک کاربر بر روی شبکه یا یک سیستم کامپیوتری چه کاری را اجازه دارد انجام دهد. بطور طبیعی ، فرآیند تصدیق هویت پس از انجام موفقیت آمیزفرایند احراز هویت رخ می دهد. به علاوه اغلب سیستم های دسترسی از راه دور شامل یک بخش بررسی نیز می باشد که دسترسی به منابع را Log می کند. به طور خلاصه :

  • احراز هویت اثبات می کند که کاربر کیست یا چیست ؟
  • تصدیق هویت کنترل می کند که کاربر تصویب شده به چه منابعی حق دسترسی دارد و به چه منابعی ندارد.
  • Accounting پیگیری می کند که کاربر به چه منابعی دسترسی پیدا کرده یا تلاش کرده تا دسترسی پیدا کند.

مشخصات شماره گیری (dial-in) ، که به طور مستقیم به هر ارتباط VPN و dial-up اعمال می شود. از طریق برگه dial-in مربوط به properties حساب کاربری قابل تنظیم است . اگر کاربری اقدام به برقراری تماس با دامنه ای نماید،نام کاربری ارسال شده برای ارتباط dial-up باید در دامنه موجود باشد و با آن مطابقت داشته باشد. مسخصات شماره گیری مربوط به این حساب کاربری همچنین می تواند در کنسول Active Directory Users and Computers نیز تنظیم شوند. اگر کاربر اقدام به شماره گیری به یک سرور stand-alone نماید ،باید یک حساب کاربری درون پایگاه داده Security Accounts manager (SAM) مربوط به سرور پاسخگو وجود داشته باشد. SAM یک سرویس ویندوز است که در مدت فرآیند ورود مورد استفاده قرار می گیرد. SAM اطلاعات مربوط به حساب کاربری را نگهداری می کند که حتی شامل گروهی که کاربر عضو آن است نیز می شود. مشخصات مربوط به شماره گیری این حساب کاربری نیز می تواند در کنسول Local Users And Groups در Computer Management تنظیم شود . درویندوز 2008 گزینه Control access through NPS Network Policy به صورت پیش فرض فعال شده است .شما می توانید اجازه دسترسی از راه دور را برای حسابهای کاربری در یکی از سه سطح زیر تنظیم نمایید:

  • Control access through NPS Network Policy : این گزینه خاص نه اجازه دسترسی dial-up به کاربر را می دهد و نه مانع از دسترسی کاربر می شود. در عوض ،آن مشخص می کند که کاربر مجوزهای دسترسی تعیین شده توسط اولین ماشین سیاست شبکه NPS اعمال شده برای اتصال را داشته باشد (به صورت پیش فرض،ساست شبکه NPS مانع از دسترسی تمامی ارتباطات دسترسی از راه دور می شود).
  • Deny access : اگر شما این گزینه را انتخاب نمایید، دسترسی dial-up برای حساب کاربری بلوکه می شود: علی رغم دیگر تنظیمات یا سیاست هایی که به حساب کاربری اعمال می شود.
  • Allow access : زمانی که شما این گزینه را انتخاب کنید دسترسی از راه دور dial-up برای حساب کاربری اجازه داده می شود که در نتیجه تنظیمات دسترسی از راه دور در سیاست شبکه NPS نیز لغو می شود. دقت داشته باشید که تنظیمات Allow access همیشه از سیاست شبکه NPS که مانع دسترسی از راه دور شود جلوگیری نمی کند. یک سیاست شبکه ای NPS همچنان می تواند دسترسی از راه دور حساب ها را از طریق پروفایل ساست شبکه NPS محدود کند. برای مثال ، ساعات اتصال مشخص شده در یک پروفایل سیاست شبکه NPS از دسترسی کاربر برای ارتباط در ساعات عصر جلوگیری می کند، حتی در صورتیکه گزینه Allow access برای حساب کاربری درون مشخصات شماره گیری تنظیم شده باشد. به هر حال ،گزینه Allow access مشخص می کند که تنظیمات مربوط به Deny Remote Access Permission درون سیاست شبکه ای NPS نادیده گرفته می شوند.

اگر گزینه Verify Caller- ID انتخاب شده باشد، سرور شما هر تلفن تماس گیرنده را ارزیابی می کند. اگر شماره تلفن با شماره تلفن تنظیم شده مطابقت نداشته باشد،تلاش برای برقراری ارتباط با شکست روبرو می شود. توجه داشته باشید که تماس گیرنده ،سیستم تلفنی بین تماس گیرنده و سرور و نیز سرور دسترسی از راه دور باید از تکنولوژی callrr ID پشتیبانی نمایند. بر روی یک کامپیوتر اجرا کننده سرویس RRAS ، پشتیبانی از caller ID شامل تجهیزات call answering (پاسخگوی تماس) می باشد، که اطلاعات مربوط به شناسه تماس گیرنده و نیز درایور ویندوز متناسب جهت گذر اطلاعات به سمت سرویس RRAS را فراهم می کند. اگر شما شماره تلفن یک تماس گیرنده را برای یک کاربر تنظیم می کنید ولی شما از گذر اطلاعات caller ID از تماس گیرنده به سمت سرویس RRAS پشتیبانی نکنید،تلاش برای برقراری ارتباط با شکست روبرو می شود.به صورت پیش فرض، Callback Options به صورت No Callback تنظیم شده است ، اگر گزینه Set by Caller انتخاب شده باشد،سرور یا تماس گیرنده با شماره مشخص شده توسط تماس گیرنده تماس می گیرد. اگر گزینه Always Callback to : انتخاب شده باشد، مدیر شبکه باید شماره ای را مشخص کند که سرور در مدت فرآیند Callback همیشه از آن استفاده نماید. به علاوه ، شما می توانید برای این کار یک و یا چند آدرس IP ثابت را پیکربندی کنید برای هر زمانی که کاربر به یک سرور دسترسی از راه دور متصل می شود.

اعمال سیاستهای شبکه ای NPS

یک سیاست شبکه NPS مجموعه ای از مجوزها و محدودیت ها است که توسط یک سرور تصدیق دسترسی از راه دور خوانده شده و به اطلاعات دسترسی از راه دور اعمال می شود. مجوزهای دسترسی از راه دور به آسانی قابل درک می باشند و در ویندور NT4.0 و ویندوز NT 3.51 پیاده سازی شده اند. مجوزهای دسترسی از راه دور به صورت مستقیم به حسابهای مربوط به کاربران و از طریق ابزارهای User Manager و یا Remote Access Administration اعطا می شود، که این امری ساده و آسان می باشد و البته در صورتی که هر چه تعداد کاربران نیازمند اعطای کمتر باشد، ایده آل تر کار خواهد کرد. در ویندوز سرور 2008 ، ویندوز سرور 2003 و ویندوز 2000 سرور تصدیق هویت از راه دور پیچیده تر می باشد و در نتیجه تلاش بیشتری را برای درک آن نیازمند است . به هر حال ، قدرتمند تر بوده و نیازهای امنیتی بیشتری را برای سازمان های کوچک و بزرگ فراهم می کند.

  • نکته امنیتی : پیکربندی سیاستهای شبکه ای NPS در پیاده سازی کنترل های تصدیق هویت کاربر برای اتصالات بیرونی، کنترل اتصال به شبکه ، خروج زمانی از لایه ارتباطی و محدود سازی زمان اتصال ،محاسبه و ارتباطات سیار در استاندارد سیستم مدیریت امنیت اطلاعات تأثیرگذار می باشد.
  • نکته : سیاستهای شبکه ای NPS در ویندوز سرور 2008 با سیاستهای دسترسی از راه دور درون ویندوز سرور 2003 و ویندوز 2000 سرور قابل مقایسه است.

همانطور که پیش از این ذکر شد، تصدیق هویت توسط ترکیب مشخصات شماره گیری مربوط به حساب کاربری و نیز گروه ها، زمان ،نوع ارتباط درخواست شده و دیگر متغیرها ، تصویب می شود و یا با شکست مواجه می شود. با استفاده از NPST ، یک کامپیوتر ویندوز سرور 2008 می تواند به عنوان یک سرور RADIUS عمل کند و عملیات احراز هویت ، تصدیق هویت و accounting را برای دستیابی به منابع شبکه ای انجام دهد.

پیکربندی یک سیاست شبکه NPS

یک سیاست شبکه ای NPS ، که در حقیقت قانونی برای ارزیابی ارتباطات راه دور می باشد دارای سه بخش می باشد: Conditions (شرایط) ، Constrains (محدودیت ها) و Settings ( تنظیمات) . شما می توانید در مورد یک سیاست شبکه NPS به عنوان یک قانون برای اجازه یا عدم اجازه دسترسی از راه دور فکر کنید: ویندوز سرور 2008 هر گونه تلاش برای برقراری ارتباط با قوانین پیکربندی شده درون هر سیاست شبکه ای NPS را مقایسه می کند. اگر شرایط و محدودیت های تعریف شده توسط ارتباط درخواستی با موارد تنظیم شده در سیاست شبکه ای مطابقت داشته باشد سرور دسترسی از راه دور به برقراری ارتباط اجازه می دهد یا اجازه نمی دهد و سپس تنظیمات اضافی دیگری را همان گونه که توسط سیاست تعریف شده است نیز پیکربندی می کند. هر کدام از سیاست های دسترسی از راه دور دارای تنظیمات مرتبط به مجوزهای دسترسی (Access permission) می باشند که مشخص می کند آیا ارتباط منطبق با سیاست اجازه داده شود یا خیر.زمانی که کاربری اقدام به اتصال به یک سرور دسترسی از راه دور می کند، فرآیند زیر که در شکل توضیح داده شده است اتفاق می افتد:

  1. کاربر تلاش می کند تا یک ارتباط دسترسی از راه دور را آغاز نماید.
  2. سرور دسترسی از راه دور شرایط درون اولین سیاست شبکه ای NPS پیکربندی شده را چک می کند.
  3. اگر شرایط بالا هماهنگ و مطابقت نداشته باشد، سرور دسترسی از راه دور دیگری سیاست شبکه ای NPS باقی مانده را چک می کند تا زمانی که یک هماهنگی پیدا کند.
  4. هنگامی که سرور دسترسی از راه دور دریابد که تلاش وارده برای برقراری ارتباط با سیاست شبکه NPS مطابقت دارد،آنگاه سرور هر گونه محدودیت هایی را که برای این سیاست تنظیم شده است را چک می کند.
  5. اگر ارتباط درخواست شده با هیچ یک از محدودیت های تنظیم شده هماهنگی نداشته باشد- زمان در روز ، حداقل سطح رمزگذاری و غیره – آنگاه سرور دسترسی از راه دور این ارتباط را از بین می برد.
  6. اگر ارتباط درخواست شده با شرایط و محدودیت های تنظیم شده با یکی از سیاست هاس شبکه ای NPS خاص، هماهنگی داشته باشد، آنگاه سرور دسترسی از راه دور بر اساس مجوزهای دسترسی پیکربندی شده برای آن سیاست به آن ارتباط اجازه می دهد یا اجازه نمی دهد.

پروتكل RADIUS برگرفته شده از (Remote Authentication Dial-In User Service) ، استانداردی برای طراحی و پياده سازی سرويس دهندگانی است كه مسئوليت تائيد و مديريت كاربران را برعهده خواهند گرفت.مشخصات و نحوه عملكرد پروتكل RADIUS در RFC 2865 و RFC 2866 تعريف شده است. پروتكل RADIUS از يك معماری سرويس گيرنده - سرويس دهنده برای تائيد و accounting استفاده می نمايد . پروتكل فوق اطلاعات accounting ، پيكربندی ، تائيد و مجوزها را بين يك سرويس گيرنده RADIUS و يك سرويس دهنده RADIUS حمل می نمايد . سرويس گيرنده RADIUS می تواند يك سرويس دهنده دستيابی شبكه ( NAS ، برگرفته شده از network access server ) و يا هر نوع دستگاه مشابه ديگری باشد كه نيازمند تائيد و accounting است. همانگونه كه اشاره گرديد NAS به عنوان يك سرويس گيرنده RADIUS عمل می نمايد . سرويس گيرنده مسئول ارسال اطلاعات كاربر برای سرويس دهنده RADIUS است تا بر اساس نتايج برگردانده شده توسط سرويس دهنده ، در خصوص كاربر تعيين تكليف گردد . سرويس دهندگان RADIUS مسئول دريافت درخواست ارتباط كاربر ، تائيد وی و ارسال اطلاعات پيكربندی مورد نياز برای سرويس گيرنده به منظور عرضه سرويس به كاربر می باشند . يك سرويس دهنده RADIUS می تواند به عنوان يك سرويس گيرنده پراكسی به ساير سرويس دهندگانRADIUS و يا ساير سرويس دهندگان تائيد نيز عمل نمايد. سرويس گيرندگان RADIUS از طريق پورت های 1812 و 1813 پروتكل حمل UDP برگرفته شده از (User Datagram Protocol ) با يك سرويس دهنده RADIUS ارتباط برقرار می نمايند . در نسخه های اوليه پروتكل RADIUS از پورت های 1646 و 1645 پروتكل UDP استفاده می گرديد . پروتكل RADIUS از پروتكل حمل TCP برگرفته شده از (Transmission Control Protocol ) حمايت نمی نمايد. پس از اینکه یک کاربر اعتبار لازم جهت ایجاد یک ارتباط دسترسی از راه دور را فراهم نمود، این ارتباط باید توسط یک سرور، ویندوز سرور 2008 که اجرا کننده سرویس Network Policy Server) NPS) باشد تصویب شود، و یا توسط یک سرویس احراز هویت و تصدیق هویت دیگری مثل Remote Authentication Dial-In User Service (RADIUS) تصویب شود. مجوز دسترسی از راه دور شامل دو مرحله می باشد: # ارزیابی مشخصات شماره گیری مرتبط با کاربر # ارزیابی هر گونه NPS که در مقابل RRAS اعمال می شود. پیاده سازی یک سرور RADIUS یک NPS می باشد . از یک سرور RADIUS به منظور متمرکز سازی عملیات احراز هویت (authentication) ، تصدیق هویت (authorization) و ورود کاربر استفاده نمایید. زمانی که شما یک سرورRADIUS را پیاده سازی می کنید ، چندین کامپیوتر اجرا کننده سرویس RRAS می توانند درخواستهای در دسترس خود را به سرور RADIUS ارسال نمایند. و سپس سرور RADIUS برای انجام فرایند تصدیق و اعمال NPS به درخواستهای ارتباط با دامین کنترلر تماس گرفته و برای آن درخواست ارسال می کند.مفاهیم احراز هویت و تصدیق هویت اغلب مورد اشتباه قرار می گیرند. احراز هویت فرآیندی است که ارزیابی می کند موجودیت یا شیء خاصی نسبت به آنچه ادعا می کند چیست و یا کیست .مثال ها شامل تطابق منبع اطلاعات و تمامیت و درستی اطلاعات می باشد مثل ارزیابی یک امضای دیجیتالی یا ارزیابی شناسه یک کاربر یا یک کامپیوتر ، تصدیق هویت فرآیندی است که مشخص می کند یک کاربر بر روی شبکه یا یک سیستم کامپیوتری چه کاری را اجازه دارد انجام دهد. بطور طبیعی ، فرآیند تصدیق هویت پس از انجام موفقیت آمیزفرایند احراز هویت رخ می دهد. به علاوه اغلب سیستم های دسترسی از راه دور شامل یک بخش بررسی نیز می باشد که دسترسی به منابع را Log می کند. به طور خلاصه : * احراز هویت اثبات می کند که کاربر کیست یا چیست ؟ * تصدیق هویت کنترل می کند که کاربر تصویب شده به چه منابعی حق دسترسی دارد و به چه منابعی ندارد. * Accounting پیگیری می کند که کاربر به چه منابعی دسترسی پیدا کرده یا تلاش کرده تا دسترسی پیدا کند. مشخصات شماره گیری (dial-in) ، که به طور مستقیم به هر ارتباط VPN و dial-up اعمال می شود. از طریق برگه dial-in مربوط به properties حساب کاربری قابل تنظیم است . اگر کاربری اقدام به برقراری تماس با دامنه ای نماید،نام کاربری ارسال شده برای ارتباط dial-up باید در دامنه موجود باشد و با آن مطابقت داشته باشد. مسخصات شماره گیری مربوط به این حساب کاربری همچنین می تواند در کنسول Active Directory Users and Computers نیز تنظیم شوند. اگر کاربر اقدام به شماره گیری به یک سرور stand-alone نماید ،باید یک حساب کاربری درون پایگاه داده Security Accounts manager (SAM) مربوط به سرور پاسخگو وجود داشته باشد. SAM یک سرویس ویندوز است که در مدت فرآیند ورود مورد استفاده قرار می گیرد. SAM اطلاعات مربوط به حساب کاربری را نگهداری می کند که حتی شامل گروهی که کاربر عضو آن است نیز می شود. مشخصات مربوط به شماره گیری این حساب کاربری نیز می تواند در کنسول Local Users And Groups در Computer Management تنظیم شود . درویندوز 2008 گزینه Control access through NPS Network Policy به صورت پیش فرض فعال شده است .شما می توانید اجازه دسترسی از راه دور را برای حسابهای کاربری در یکی از سه سطح زیر تنظیم نمایید: * *Control access through NPS Network Policy *: این گزینه خاص نه اجازه دسترسی dial-up به کاربر را می دهد و نه مانع از دسترسی کاربر می شود. در عوض ،آن مشخص می کند که کاربر مجوزهای دسترسی تعیین شده توسط اولین ماشین سیاست شبکه NPS اعمال شده برای اتصال را داشته باشد (به صورت پیش فرض،ساست شبکه NPS مانع از دسترسی تمامی ارتباطات دسترسی از راه دور می شود). * *Deny access :* اگر شما این گزینه را انتخاب نمایید، دسترسی dial-up برای حساب کاربری بلوکه می شود: علی رغم دیگر تنظیمات یا سیاست هایی که به حساب کاربری اعمال می شود. * *Allow access :* زمانی که شما این گزینه را انتخاب کنید دسترسی از راه دور dial-up برای حساب کاربری اجازه داده می شود که در نتیجه تنظیمات دسترسی از راه دور در سیاست شبکه NPS نیز لغو می شود. دقت داشته باشید که تنظیمات Allow access همیشه از سیاست شبکه NPS که مانع دسترسی از راه دور شود جلوگیری نمی کند. یک سیاست شبکه ای NPS همچنان می تواند دسترسی از راه دور حساب ها را از طریق پروفایل ساست شبکه NPS محدود کند. برای مثال ، ساعات اتصال مشخص شده در یک پروفایل سیاست شبکه NPS از دسترسی کاربر برای ارتباط در ساعات عصر جلوگیری می کند، حتی در صورتیکه گزینه Allow access برای حساب کاربری درون مشخصات شماره گیری تنظیم شده باشد. به هر حال ،گزینه Allow access مشخص می کند که تنظیمات مربوط به Deny Remote Access Permission درون سیاست شبکه ای NPS نادیده گرفته می شوند. اگر گزینه Verify Caller- ID انتخاب شده باشد، سرور شما هر تلفن تماس گیرنده را ارزیابی می کند. اگر شماره تلفن با شماره تلفن تنظیم شده مطابقت نداشته باشد،تلاش برای برقراری ارتباط با شکست روبرو می شود. توجه داشته باشید که تماس گیرنده ،سیستم تلفنی بین تماس گیرنده و سرور و نیز سرور دسترسی از راه دور باید از تکنولوژی callrr ID پشتیبانی نمایند. بر روی یک کامپیوتر اجرا کننده سرویس RRAS ، پشتیبانی از caller ID شامل تجهیزات call answering (پاسخگوی تماس) می باشد، که اطلاعات مربوط به شناسه تماس گیرنده و نیز درایور ویندوز متناسب جهت گذر اطلاعات به سمت سرویس RRAS را فراهم می کند. اگر شما شماره تلفن یک تماس گیرنده را برای یک کاربر تنظیم می کنید ولی شما از گذر اطلاعات caller ID از تماس گیرنده به سمت سرویس RRAS پشتیبانی نکنید،تلاش برای برقراری ارتباط با شکست روبرو می شود.به صورت پیش فرض، Callback Options به صورت No Callback تنظیم شده است ، اگر گزینه Set by Caller انتخاب شده باشد،سرور یا تماس گیرنده با شماره مشخص شده توسط تماس گیرنده تماس می گیرد. اگر گزینه Always Callback to : انتخاب شده باشد، مدیر شبکه باید شماره ای را مشخص کند که سرور در مدت فرآیند Callback همیشه از آن استفاده نماید. به علاوه ، شما می توانید برای این کار یک و یا چند آدرس IP ثابت را پیکربندی کنید برای هر زمانی که کاربر به یک سرور دسترسی از راه دور متصل می شود. !!!! اعمال سیاستهای شبکه ای NPS یک سیاست شبکه NPS مجموعه ای از مجوزها و محدودیت ها است که توسط یک سرور تصدیق دسترسی از راه دور خوانده شده و به اطلاعات دسترسی از راه دور اعمال می شود. مجوزهای دسترسی از راه دور به آسانی قابل درک می باشند و در ویندور NT4.0 و ویندوز NT 3.51 پیاده سازی شده اند. مجوزهای دسترسی از راه دور به صورت مستقیم به حسابهای مربوط به کاربران و از طریق ابزارهای User Manager و یا Remote Access Administration اعطا می شود، که این امری ساده و آسان می باشد و البته در صورتی که هر چه تعداد کاربران نیازمند اعطای کمتر باشد، ایده آل تر کار خواهد کرد. در ویندوز سرور 2008 ، ویندوز سرور 2003 و ویندوز 2000 سرور تصدیق هویت از راه دور پیچیده تر می باشد و در نتیجه تلاش بیشتری را برای درک آن نیازمند است . به هر حال ، قدرتمند تر بوده و نیازهای امنیتی بیشتری را برای سازمان های کوچک و بزرگ فراهم می کند. * *نکته امنیتی :* پیکربندی سیاستهای شبکه ای NPS در پیاده سازی کنترل های تصدیق هویت کاربر برای اتصالات بیرونی، کنترل اتصال به شبکه ، خروج زمانی از لایه ارتباطی و محدود سازی زمان اتصال ،محاسبه و ارتباطات سیار در استاندارد سیستم مدیریت امنیت اطلاعات تأثیرگذار می باشد. * *نکته :* سیاستهای شبکه ای NPS در ویندوز سرور 2008 با سیاستهای دسترسی از راه دور درون ویندوز سرور 2003 و ویندوز 2000 سرور قابل مقایسه است. همانطور که پیش از این ذکر شد، تصدیق هویت توسط ترکیب مشخصات شماره گیری مربوط به حساب کاربری و نیز گروه ها، زمان ،نوع ارتباط درخواست شده و دیگر متغیرها ، تصویب می شود و یا با شکست مواجه می شود. با استفاده از NPST ، یک کامپیوتر ویندوز سرور 2008 می تواند به عنوان یک سرور RADIUS عمل کند و عملیات احراز هویت ، تصدیق هویت و accounting را برای دستیابی به منابع شبکه ای انجام دهد. !!!! پیکربندی یک سیاست شبکه NPS یک سیاست شبکه ای NPS ، که در حقیقت قانونی برای ارزیابی ارتباطات راه دور می باشد دارای سه بخش می باشد: Conditions (شرایط) ، Constrains (محدودیت ها) و Settings ( تنظیمات) . شما می توانید در مورد یک سیاست شبکه NPS به عنوان یک قانون برای اجازه یا عدم اجازه دسترسی از راه دور فکر کنید: ویندوز سرور 2008 هر گونه تلاش برای برقراری ارتباط با قوانین پیکربندی شده درون هر سیاست شبکه ای NPS را مقایسه می کند. اگر شرایط و محدودیت های تعریف شده توسط ارتباط درخواستی با موارد تنظیم شده در سیاست شبکه ای مطابقت داشته باشد سرور دسترسی از راه دور به برقراری ارتباط اجازه می دهد یا اجازه نمی دهد و سپس تنظیمات اضافی دیگری را همان گونه که توسط سیاست تعریف شده است نیز پیکربندی می کند. هر کدام از سیاست های دسترسی از راه دور دارای تنظیمات مرتبط به مجوزهای دسترسی (Access permission) می باشند که مشخص می کند آیا ارتباط منطبق با سیاست اجازه داده شود یا خیر.زمانی که کاربری اقدام به اتصال به یک سرور دسترسی از راه دور می کند، فرآیند زیر که در شکل توضیح داده شده است اتفاق می افتد: # کاربر تلاش می کند تا یک ارتباط دسترسی از راه دور را آغاز نماید. # سرور دسترسی از راه دور شرایط درون اولین سیاست شبکه ای NPS پیکربندی شده را چک می کند. # اگر شرایط بالا هماهنگ و مطابقت نداشته باشد، سرور دسترسی از راه دور دیگری سیاست شبکه ای NPS باقی مانده را چک می کند تا زمانی که یک هماهنگی پیدا کند. # هنگامی که سرور دسترسی از راه دور دریابد که تلاش وارده برای برقراری ارتباط با سیاست شبکه NPS مطابقت دارد،آنگاه سرور هر گونه محدودیت هایی را که برای این سیاست تنظیم شده است را چک می کند. # اگر ارتباط درخواست شده با هیچ یک از محدودیت های تنظیم شده هماهنگی نداشته باشد- زمان در روز ، حداقل سطح رمزگذاری و غیره – آنگاه سرور دسترسی از راه دور این ارتباط را از بین می برد. # اگر ارتباط درخواست شده با شرایط و محدودیت های تنظیم شده با یکی از سیاست هاس شبکه ای NPS خاص، هماهنگی داشته باشد، آنگاه سرور دسترسی از راه دور بر اساس مجوزهای دسترسی پیکربندی شده برای آن سیاست به آن ارتباط اجازه می دهد یا اجازه نمی دهد. ||http://network.tosinso.com/files/get/10b5f2b1-a756-45b6-956b-56ac4563fb19|| سیاست شبکه ای NPS بر روی هر سرور دسترسی از راه دور تدارک دیده می شود و هر سیاست از بالا به پایین ارزیابی می شود. قرار دادن سیاست ها به ترتیب درست ، از اهمیت خاصی برخوردار است ، چرا که به محض اینکه سرور RRAS یک هماهنگی را پیدا کند، فرآیند پردازش دیگر سیاست ها را متوقف می سازد. برای مثال، اگر شما یک سیاست شبکه NPS را به این صورت داشته باشید که << تمامی ارتباط ها بین ساعات 8 صبح تا 5 بعداز ظهر نادیده گرفته شوند>> و به عنوان اولین سیاست تنظیم شده باشد، آنگاه سرور RRAS تمامی ارتباطات در مدت زمان مشخص شده را نادیده می گیرد، حتی اگر شما سیاست مهمتری در پایین لیست داشته باشید. به عنوان بهترین کار، سیاست های شبکه NPS باید طوری مرتب شوند که سیاست های خاص تر در بالای لیست قرار بگیرند و سیاست های غیرخاص در پایین لیست قرار بگیرد و به این ترتیب سیاست ها به صورت صحیح پردازش می شوند. برای مثال ، شما ممکن است دو سیاست را به صورت زیر داشته باشید: # اگر یک کاربر عضو گروه”Remote Consultant” باشد ، بدون توجه به زمان ، ارتباط اجازه داده شود. # تمامی ارتباط های بین ساعت 8 صبح تا 5 بعد از ظهر از روز دوشنبه تا جمعه بدون توجه به دیگر شرایط نادیده گرفته شود. در این سناریو، یک عضو گروه Remote Consultant قادر به برقراری ارتباط در ساعت 10 صبح روز شنبه خواهد بود . چرا که با سیاست شماره یک مطابقت دارد و قبل از سیاست شماره دو پردازش می شود. اگر کاربری عضو گروه مذکور نباشد ، با سیاست شماره یک هماهنگی نخواهد داشت و سیاست شماره تأثیرگذار می باشد.در ویندوز سرور 2008 به صورت پیش فرض دو سیاست شبکه NPS پیکربندی شده است. اولین سیاست پیش فرض، مربوط به ارتباطات Routing and Remote Access Server مایکروسافت می باشد، و برای هماهنگی تمامی ارتباط های دسترسی از راه دور با سرویس RRAS پیکربندی شده است . زمانی که RRAS این سیاست را مطالعه می کند، سیاست به صورت طبیعی با هرگونه ارتباط ورودی تطابق پیدا می کند. اگر یک سرور RADIUS و یا یک مکانیزم احراز هویت Third – party (سوم شخص تصدیق کننده) دیگری این سیاست را مطالعه کند دسترسی شبکه ممکن است توسط یک سازنده غیرمایکروسافتی تدارک دیده شود. در نتیجه این سیاست با آن ارتباطات مطابقت نخواهد داشت. دومین سیاست پیش فرض مربوط به ارتباطات دیگر سرورهای دسترسی از راه دور می باشد این سیاست برای تطابق و هماهنگی هرگونه ارتباط ورودی بدون توجه به نوع سرور دسترسی به شبکه ، پیکربندی شده است به دلیل اینکه اولین سیاست با تمامی ارتباطات ارسالی به سرور RRAS هماهنگی دارد، این سیاست تنها زمانی موثر است که ارتباط ورودی توسط یک سرور RADIUS یا مکانیزم احراز هویت دیگری، تصدیق شده باشد. !!!! پیکربندی شرایط اعمال سیاست هر سیاست شبکه NPS براساس شرایط سیاستی می باشد که مشخص می کند چه زمانی سیاست باید اعمال شود . برای مثال ، یک سیاست ممکن است حاوی شرطی معین براین باشد که Windows Groups با WINGTIPTOYS\\Telecommuters هماهنگ باشد . این سیاست سپس ممکن است با یک ارتباط مربوط به کاربری عضو گروه امنیتی Telecommuters هماهنگی و مطابقت کند.با کلیک کردن بر روی دکمه Add درون کادر محاوره ای select Attribute از برگه conditions، شما می توانید یک گروه جدید برای یک شرط سیاست دسترسی از راه دور، اضافه نمایید. * *نکته:* تنها عضویت در گروه های global security می تواند به عنوان یک شرط سیاست از راه دور خدمت کند. شما نمی توانید عضویت در گروه های امنیتی domain local و یا universal را به عنوان شرطی برای یک سیاست دسترسی از راه دور مشخص کنید. !!!! پیکربندی تنظیمات اعمال سیاست یک پروفایل سیاست شبکه NPS حاوی مجموعه ای از تنظیمات و مشخصات است که می توانند به یک ارتباط اعمال شوند. شما می توانید یک پروفایل NPS را از طریق کلیک کردن بر روی برگه Settings در صفحه Properties سیاست ، پیکربندی نمایید. نمونه ای از تنظیمات سیاست NPS حاوی مشخصات IP است که رفتار تخصیص آدرس IP را مشخص می کند. شما دارای گزینه های زیر می باشید: * سرور باید یک آدرس IP را تدارک ببیند. * کاربر ممکن است یک آدرس IP را درخواصت نماید. * تنظیمات سرور تخصیص آدرس IP را مشخص می کند. (تنظیمات پیش فرض ) * یک آدرس IP ثابت را تخصیص دهید. آدرس IP تخصیص داده شده به طور نمونه برای تطابق با ویژگی های مشخص شده توسط تولید کننده (سازنده) برای آدرس های IP، استفاده می شود. به علاوه شما می توانید مشخصات مربوط به multilink را نیز تنظیم کنید که یک ارتباط دسترسی از راه دور را قادر می سازد تا از چندین مودم برای تنها یک ارتباط استفاده کند و حداکثر تعداد پورت هایی(مودم) را که یک ارتباط multilink می تواند استفاده کند را مشخص می کند،همچنین می توانید سیاستهای مربوط به Bandwidth Allocation Protocol(BAP) را نیز تنظیم کنید که کاربرد و استفاده از BAP و اینکه چه زمانی خطوط BAP اضافه یا حذف شوند را مشخص می کند. تمامی مشخصات مرتبط با multilink و BAP در سرویس RRAS مشخص شده است. به صورت پیش فرض BAP وmultilink به صورت غیرفعال می باشند. سرویس RRAS به منظور اجرای ویژگیهای مربوط به پروفایل multilink باید این دو کاربرد را فعال کند.در نهایت چهار روش رمزنگاری در برگه Encryption در دسترس می باشد: * *(Basic Encryption (MPPE 40-Bit : *برای ارتباطات dial-up و VPN مبتنی بر PPTP می باشد و این روش با یک کلید 40 بیتی مورد استفاده قرار می گیرد. در ارتباطات VPN مبتنی بر L2TP/IPSec روش DEC با 56 بیت مورد استفاده قرار می گیرد. * *(Strong Encryption (MPPE 56-bit :* برای ارتباطات dial-up و VPN مبتنی بر PPTP می باشد که با یک کلید 66 بیتی مورد استفاده قرار می گیرد. و برای ارتباطات VPN مبتنی بر L2TP/IPSec مانند DEC با 56 بیت استفاده می شود. * *(Strong Encryption (MPPE 128-bit :* برای ارتباطات dial-up و VPN مبتنی بر PPTP مانند MPPE با کلید 128 بیتی مورد استفاده قرار می گیرد. برای ارتباطات VPN مبتنی بر L2TP/IPSec ، روش Triple DES با 168 بیت استفاده می شود. * *NC Encryption :* این گزینه به ارتباط های رمزگذاری نشده ای اجازه می دهد که با شرایط مربوط به سیاست دسترسی از راه دور هماهنگی دارند. برای استفاده از رمز گذاری علامت این گزینه را بردارید. !!!! انتخاب پروتکل احراز هویت برای احراز هویت یا تصدیق کردن اعتبار ارائه شده توسط ارتباطات dial-up ابتدا سرور دسترسی از راه دور باید با کاربران طبق یک پروتکل احراز هویت رایج مذاکراتی را انجام دهد. اغلب پروتکل های احراز هویت برخی معیارهای امنیتی را در نظر می گیرند که اعتبارات کاربر می تواند در آنها نفوذ کند. پروتکل های احراز هویت به کاربران در سرورهای تحت سیستم عامل ویندوز اولویتی بر اساس سطح امنیتی تخصیص می دهند.در زیر لیست کاملی از تمامی پروتکل های احراز هویت ( به ترتیب از امن ترین تا کم ترین امنیت لیست شده اند)، که توسط سرویس RRAS در ویندوز سرور 2008 پشتیبانی می شوند آمده است : * *EAP -TLS :* یک روش احراز هویت مبتنی بر گواهینامه است که براساس EAP بوده و دارای یک چارچوب توسعه پذیر است که در روش های جدید احراز هویت پشتیبانی می شود. EAP-TLS برای ترکیب با کارت های هوشمند استفاده می شود. این روش هم از رمز نگاری داده های احراز هویت و هم از داده های مربوط به برقراری ارتباط پشتیبانی می کند، دقت داشته باشید که سرورهای stand-alone روش EAp-TLS را پشتیبانی نمی کنند و سرور دسترسی از راه دور که ویندوز سرور 2008 را اجرا می کند باید عضوی از یک دامنه باشد. * *MS-CHAP v2 :*یک روش احراز هویت دو جانبه است که رمز نگاری هم داده های مربوط به مکانیزم احراز هویت و هم داده های مربوط به برقراری ارتباط را ارائه می کند. یک کلید رمز گزاری جدید برای هر ارتباط و هر مسیر انتقال ، مورد استفاده قرار می گیرد. این روش به صورت پیش فرض در ویندوز 2000 ، ویندوز XP ، ویندوز سرور 2003، ویندوز سرور 2008 فعال شده است. * *MS-CHAP v1 :* یک روش احراز هویت یک جانبه است که رمزنگاری داده های مربوط به مکانیزم احراز هویت و هم داده های مربوط به ارتباط را ارائه می دهد. یک کلید رمزنگاری مشابه نیز در تمامی ارتباطات مورد استفاده قرارا می گیرد. روش MS-CHAP v1 از کاربرهای قدیمی تر مثل ویندوز 95 و ویندوز 98 نیز پشتیبانی می کند. * *(Extensible Authentication Protocol =Message Digest 5 Challenge Handshake Authentication Protocol (EAP- MD5 CHAP :* یک نسخه از روش CHAP ( به گزینه های بعدی توجه کنید.) است که به چارچوب EAP راه پیدا می کند. EAP-MD5 CHAP رمزنگاری داده های احراز هویت را از طریق استاندارد hash کردن MD5 پشتیبانی می کند و سازگاری با کاربران غیرمایکروسافتی مانند کاربران اجرا کننده Mac OSX را فراهم می کند. این روش از رمزنگاری داده های مربوط به برقراری ارتباط پشتیبانی نمی کند. * *(Challenge Handshake Authentication Protocol (CHAP :* یک روش احراز هویت عمومی است که امکان رمزنگاری داده های احراز هویت را به وسیله hash کردن مربوط به MD5 ارائه می کند. * *CHAP* همچنین سازگاری با کاربر غیر مایکروسافتی را فراهم می کند. Group Policy که با استفاده از این احراز هویت به حساب های کاربری اعمال می شود باید طوری پیکربندی شود که کلمه های عبور را با استفاده از رمزنگاری برگشت پذیر، ذخیره کند (کلمه های عبور پس از اعمال سیاست جدید مجددا تنظیم شوند). این روش از رمزنگاری داده های مربوط به برقراری ارتباط پشتیبانی نمی کند. * *(Shiva Password Authentication Protocol (SPAP :* یک روش احراز هویت رمزنگاری ضعیف می باشد که قابلیت همکاری با محصولات Shiva در شبکه های از راه دور را ارائه می دهد. SPAP از رمزنگاری داده های مربوط به ارتباط پشتیبانی نمی کند. * *(Password Authentication Protocol (PAP :* یک روش احراز هویت عمومی است که از رمزنگاری داده های احراز هویت پشتیبانی نمی کند. اعتبارات کاربر در بسته شبکه به صورت متن معمولی ارسال می شوند، PAP نیز از رمزنگاری داده های مربوط به برقراری ارتباط پشتیبانی نمی کند. * *Unauthenticated access :* این پروتکل احراز هویت نمی باشد، بلکه یک گزینه پیکربندی است –زمانی که بر روی NAS تنظیم شود و سیاست دسترسی از راه دور به ارتباط اعمال شود- به ارتباطات دسترسی از راه دور اجازه می دهد تا بدون ارائه مجوز و اعتبار متصل شوند. این گزینه برای اشکال زدایی یا امتحان برقراری اتصال دسترسی از راه دور کاربرد دارد. این نوع دسترسی از رمزنگاری داده های برقراری ارتباط پشتیبانی نمی کند. به صورت پیش فرض ،تمامی تلاش های دسترسی از راه دور درون یک فایل متنی در مسیر C:\\Windows\\system32\\LogFiles ذخیره می شود، اما شما می توانید برای گزارش دهی و همبستگی رخدادها به صورت بهینه تر و بهتر آنها را درون یک پایگاه داده SQL ذخیره و ثبت نماید. !!!! پیکربندی دسترسی بی سیم علاوه بر چالش های دسترسی از راه دور به شبکه سازمانی شما، پیشرفت های اخیر در تکنولوژی های سیار نیاز جدیدی را مبتنی بر تأمین امنیت دیگر انواع دسترسی ها به شبکه ایجاد نموده است .موضوع نگران کننده تأمین امنیت دسترسی های بی سیم از استفاده های غیرمجاز و یا جلوگیری از اتصال بازدید کننده ها و مشاورین به یک شبکه غیر ایمن در یک اتاق کنفرانس برای استفاده از منابع حساس می باشد ، که نیاز به داشتن دسترسی ایمن به شبکه سازمان حتی با وجود نام کاربری و کلمه عبور و فرآیندهای محافظتی احراز هویت که در قبل کافی بوده است، احساس می شود. برای کمک به تأمین امنیت دسترسی های شبکه چه در ارتباطات سیمی و چه در ارتباطات بی سیم انجمن IEEE اقدام به ایجاد استاندارد 802.1X برای کنترل دسترسی به شبکه نموده است. 802.1X مبتنی بر پورت می باشد، یعنی اینکه می توان دسترسی را براساس یک پورت فیزیکی اجازه داد یا نادیده گرفت ، مثل اینکه شخصی فقط به یک پایه wall jack با استفاده از یک کابل اترنت متصل شود و یا براساس یک پورت منطقی مثل اینکه شخصی به یک Access Point بی سیم با استفاده از کارت های WIFI در یک یا چندین کامپیوتر همراه یا وسیله دستی متصل شود.802.1X امنیت مبتنی بر پورت را با استفاده از سه بخش زیر برقرار می کند: * *Supplicant :* این در حقیقت دستگاهی است که با آن به شبکه دسترسی پیدا می کنید مثل یک کامپیوتر همراه . * *Authenticator: *این بخش اعبارات و مجوزهای مربوط به احراز هویت را برای supplicant درخواست می کند ، که اغلب یک پورت سوئیچ برای ارتباطات سیمی و یا یک نقطه دسترسی بی سیم می باشد. البته برخلاف آن به طور طبیعی اقدام به انجام فرآیند احراز هویت نمی کند بلکه به جای آن اعتبارات Supplicant را برای سرور احراز هویت ارسال می کند. * *(Authentication Server(AS :* همانطور که ذکر شد، این همان سروری است که اعتبارات Supplicant را ارزیابی می کند و چگونگی دسترسی یا عدم دسترسی به پورت شبکه ایمن شده ، 802.1X را به authenticator (تایید کننده اعتبار) اعلام می کند. این سرور در یک زیر ساخت 802.1X می تواند توسط یک کامپیوتر ویندوز سرور 2008 نقش NPS یا هر گونه سرور RADIUS دیگری را اجرا کند. زمانی که یک پورت سیمی یا بی سیم با وجودد802.1X امنیت لازم را داشته باشد، قبل از هر گونه اعطای مجوز دسترسی به شبکه ، فرآیند زیر صورت می گیرد: 1- *authenticator *(پورت سوئیچ یا WAP) یک تلاش برای دسترسی را از سمت یک Supplicant جدید شناسایی می کند(یک کاربر بی سیم یا یک کاربر متصل شده به یک پورت فیزیکی). 2- authenticator سپس پورت را (خواه فیزیکی یا منطقی)به عنوان unauthorized (غیرمجاز) تنظیم می کند که تنها ترافیک 802.1X قادر به عبور از آن می باشد. # authenticator سپس یک بسته درخواست EAP را به سمت Supplicant ارسال می کند و اطلاعاتEAP آن را درخواست می کند.Supplicant با یک پاسخ EAP به درخواست authenticator پاسخ می دهد، که authenticator آن را به سمت سرور احراز هویت (AS) هدایت می کند. # اگر AS بسته پاسخ را بپذیرد، به authenticator ابلاغ می کند تا پورت را به عنوان authorized(مجاز) تنظیم نماید که در این صورت ترافیک به صورت نرمال از آن عبور خواهد کرد. # در پایان زمانی که Supplicant دیگر از پورت ایمن استفاده نکند، یک پیغام EAP-Logoff را برای authenticator ارسال می کند و پورت به حالت unauthorized(غیرمجاز) بازگردانده می شود. برای پیکربندی یک ویندوز سرور 2008 برای داشتن دسترسی های بی سیم شما نیازمند انجام موارد زیر می باشید: # کلاینت RADIUS را نصب و پیکربندی نمایید. در این موارد، کلاینت RADIUS یک کامپیوتر با سیستم عاملهای ویندوز ویستا یا XP نمی باشند، بلکه به جای آن کلاینت RADIUS حاوی سرورهای دسترسی به شبکه مثل سوئیچ های منطبق بر 802.1X و Access Point های بی سیم می باشد. # یک یا چند روش احراز هویت را انتخاب نمایید، برای ارتباطات سیمی و بی سیم مبتنی بر 802.1X شما باید یک یا چند روش احراز هویت زیر را انتخاب نمایید: * الف) EAP با TLS (که معمولاً EAP-TLS نامیده می شوند) * ب) (PEAP) Protected EAP با MS-CHAP V2 یا PEAP-MS-CHAP V2 * ج) PEAP با EAP-TLS (که معمولاً PEAP-TLS نامیده می شوند) 3. یک سرور NPS ویندوز سرور 2008 را بعنوان یک سرور RADIUS پیکربندی کنید که این شامل سه مرحله زیر میشود: * الف) از این طریق NPS MMC Scap In ، هر سوئیچ یا نقطه دسترسی بی سیم به بعنوان کلاینت RADIUS را اضافه نمایید. * ب) سیاست شبکه ای NPS را همان طور که پیش از این ذکر شد پیکربندی کنید تا تعریف کنید. شرایطی که تحت آنها شما می توانید دسترسی های شبکه ای را اجازه دهید یا رد کنید. * ج) Accounting را بروی سرور NPS پیکربندی کنید، چه بروی یک فایل متنی و چه بروی یک پایگاه داده SQL. ||http://network.tosinso.com/files/get/3192a529-3679-4b09-9640-b10ab138d95d|| نویسنده : منبع:|جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو::https://microsoft.tosinso.com| هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

سیاست شبکه ای NPS بر روی هر سرور دسترسی از راه دور تدارک دیده می شود و هر سیاست از بالا به پایین ارزیابی می شود. قرار دادن سیاست ها به ترتیب درست ، از اهمیت خاصی برخوردار است ، چرا که به محض اینکه سرور RRAS یک هماهنگی را پیدا کند، فرآیند پردازش دیگر سیاست ها را متوقف می سازد. برای مثال، اگر شما یک سیاست شبکه NPS را به این صورت داشته باشید که << تمامی ارتباط ها بین ساعات 8 صبح تا 5 بعداز ظهر نادیده گرفته شوند>> و به عنوان اولین سیاست تنظیم شده باشد، آنگاه سرور RRAS تمامی ارتباطات در مدت زمان مشخص شده را نادیده می گیرد، حتی اگر شما سیاست مهمتری در پایین لیست داشته باشید. به عنوان بهترین کار، سیاست های شبکه NPS باید طوری مرتب شوند که سیاست های خاص تر در بالای لیست قرار بگیرند و سیاست های غیرخاص در پایین لیست قرار بگیرد و به این ترتیب سیاست ها به صورت صحیح پردازش می شوند.

برای مثال ، شما ممکن است دو سیاست را به صورت زیر داشته باشید:

  1. اگر یک کاربر عضو گروه”Remote Consultant” باشد ، بدون توجه به زمان ، ارتباط اجازه داده شود.
  2. تمامی ارتباط های بین ساعت 8 صبح تا 5 بعد از ظهر از روز دوشنبه تا جمعه بدون توجه به دیگر شرایط نادیده گرفته شود.

در این سناریو، یک عضو گروه Remote Consultant قادر به برقراری ارتباط در ساعت 10 صبح روز شنبه خواهد بود . چرا که با سیاست شماره یک مطابقت دارد و قبل از سیاست شماره دو پردازش می شود. اگر کاربری عضو گروه مذکور نباشد ، با سیاست شماره یک هماهنگی نخواهد داشت و سیاست شماره تأثیرگذار می باشد.در ویندوز سرور 2008 به صورت پیش فرض دو سیاست شبکه NPS پیکربندی شده است. اولین سیاست پیش فرض، مربوط به ارتباطات Routing and Remote Access Server مایکروسافت می باشد، و برای هماهنگی تمامی ارتباط های دسترسی از راه دور با سرویس RRAS پیکربندی شده است . زمانی که RRAS این سیاست را مطالعه می کند، سیاست به صورت طبیعی با هرگونه ارتباط ورودی تطابق پیدا می کند. اگر یک سرور RADIUS و یا یک مکانیزم احراز هویت Third – party (سوم شخص تصدیق کننده) دیگری این سیاست را مطالعه کند دسترسی شبکه ممکن است توسط یک سازنده غیرمایکروسافتی تدارک دیده شود. در نتیجه این سیاست با آن ارتباطات مطابقت نخواهد داشت.

دومین سیاست پیش فرض مربوط به ارتباطات دیگر سرورهای دسترسی از راه دور می باشد این سیاست برای تطابق و هماهنگی هرگونه ارتباط ورودی بدون توجه به نوع سرور دسترسی به شبکه ، پیکربندی شده است به دلیل اینکه اولین سیاست با تمامی ارتباطات ارسالی به سرور RRAS هماهنگی دارد، این سیاست تنها زمانی موثر است که ارتباط ورودی توسط یک سرور RADIUS یا مکانیزم احراز هویت دیگری، تصدیق شده باشد.

پیکربندی شرایط اعمال سیاست

هر سیاست شبکه NPS براساس شرایط سیاستی می باشد که مشخص می کند چه زمانی سیاست باید اعمال شود . برای مثال ، یک سیاست ممکن است حاوی شرطی معین براین باشد که Windows Groups با WINGTIPTOYS\\Telecommuters هماهنگ باشد . این سیاست سپس ممکن است با یک ارتباط مربوط به کاربری عضو گروه امنیتی Telecommuters هماهنگی و مطابقت کند.با کلیک کردن بر روی دکمه Add درون کادر محاوره ای select Attribute از برگه conditions، شما می توانید یک گروه جدید برای یک شرط سیاست دسترسی از راه دور، اضافه نمایید.

  • نکته: تنها عضویت در گروه های global security می تواند به عنوان یک شرط سیاست از راه دور خدمت کند. شما نمی توانید عضویت در گروه های امنیتی domain local و یا universal را به عنوان شرطی برای یک سیاست دسترسی از راه دور مشخص کنید.

پیکربندی تنظیمات اعمال سیاست

یک پروفایل سیاست شبکه NPS حاوی مجموعه ای از تنظیمات و مشخصات است که می توانند به یک ارتباط اعمال شوند. شما می توانید یک پروفایل NPS را از طریق کلیک کردن بر روی برگه Settings در صفحه Properties سیاست ، پیکربندی نمایید. نمونه ای از تنظیمات سیاست NPS حاوی مشخصات IP است که رفتار تخصیص آدرس IP را مشخص می کند. شما دارای گزینه های زیر می باشید:

  • سرور باید یک آدرس IP را تدارک ببیند.
  • کاربر ممکن است یک آدرس IP را درخواصت نماید.
  • تنظیمات سرور تخصیص آدرس IP را مشخص می کند. (تنظیمات پیش فرض )
  • یک آدرس IP ثابت را تخصیص دهید. آدرس IP تخصیص داده شده به طور نمونه برای تطابق با ویژگی های مشخص شده توسط تولید کننده (سازنده) برای آدرس های IP، استفاده می شود.

به علاوه شما می توانید مشخصات مربوط به multilink را نیز تنظیم کنید که یک ارتباط دسترسی از راه دور را قادر می سازد تا از چندین مودم برای تنها یک ارتباط استفاده کند و حداکثر تعداد پورت هایی(مودم) را که یک ارتباط multilink می تواند استفاده کند را مشخص می کند،همچنین می توانید سیاستهای مربوط به Bandwidth Allocation Protocol(BAP) را نیز تنظیم کنید که کاربرد و استفاده از BAP و اینکه چه زمانی خطوط BAP اضافه یا حذف شوند را مشخص می کند. تمامی مشخصات مرتبط با multilink و BAP در سرویس RRAS مشخص شده است. به صورت پیش فرض BAP وmultilink به صورت غیرفعال می باشند. سرویس RRAS به منظور اجرای ویژگیهای مربوط به پروفایل multilink باید این دو کاربرد را فعال کند.در نهایت چهار روش رمزنگاری در برگه Encryption در دسترس می باشد:

  • (Basic Encryption (MPPE 40-Bit : برای ارتباطات dial-up و VPN مبتنی بر PPTP می باشد و این روش با یک کلید 40 بیتی مورد استفاده قرار می گیرد. در ارتباطات VPN مبتنی بر L2TP/IPSec روش DEC با 56 بیت مورد استفاده قرار می گیرد.
  • (Strong Encryption (MPPE 56-bit : برای ارتباطات dial-up و VPN مبتنی بر PPTP می باشد که با یک کلید 66 بیتی مورد استفاده قرار می گیرد. و برای ارتباطات VPN مبتنی بر L2TP/IPSec مانند DEC با 56 بیت استفاده می شود.
  • (Strong Encryption (MPPE 128-bit : برای ارتباطات dial-up و VPN مبتنی بر PPTP مانند MPPE با کلید 128 بیتی مورد استفاده قرار می گیرد. برای ارتباطات VPN مبتنی بر L2TP/IPSec ، روش Triple DES با 168 بیت استفاده می شود.
  • NC Encryption : این گزینه به ارتباط های رمزگذاری نشده ای اجازه می دهد که با شرایط مربوط به سیاست دسترسی از راه دور هماهنگی دارند. برای استفاده از رمز گذاری علامت این گزینه را بردارید.

انتخاب پروتکل احراز هویت

برای احراز هویت یا تصدیق کردن اعتبار ارائه شده توسط ارتباطات dial-up ابتدا سرور دسترسی از راه دور باید با کاربران طبق یک پروتکل احراز هویت رایج مذاکراتی را انجام دهد. اغلب پروتکل های احراز هویت برخی معیارهای امنیتی را در نظر می گیرند که اعتبارات کاربر می تواند در آنها نفوذ کند. پروتکل های احراز هویت به کاربران در سرورهای تحت سیستم عامل ویندوز اولویتی بر اساس سطح امنیتی تخصیص می دهند.در زیر لیست کاملی از تمامی پروتکل های احراز هویت ( به ترتیب از امن ترین تا کم ترین امنیت لیست شده اند)، که توسط سرویس RRAS در ویندوز سرور 2008 پشتیبانی می شوند آمده است :

  • EAP -TLS : یک روش احراز هویت مبتنی بر گواهینامه است که براساس EAP بوده و دارای یک چارچوب توسعه پذیر است که در روش های جدید احراز هویت پشتیبانی می شود. EAP-TLS برای ترکیب با کارت های هوشمند استفاده می شود. این روش هم از رمز نگاری داده های احراز هویت و هم از داده های مربوط به برقراری ارتباط پشتیبانی می کند، دقت داشته باشید که سرورهای stand-alone روش EAp-TLS را پشتیبانی نمی کنند و سرور دسترسی از راه دور که ویندوز سرور 2008 را اجرا می کند باید عضوی از یک دامنه باشد.
  • MS-CHAP v2 :یک روش احراز هویت دو جانبه است که رمز نگاری هم داده های مربوط به مکانیزم احراز هویت و هم داده های مربوط به برقراری ارتباط را ارائه می کند. یک کلید رمز گزاری جدید برای هر ارتباط و هر مسیر انتقال ، مورد استفاده قرار می گیرد. این روش به صورت پیش فرض در ویندوز 2000 ، ویندوز XP ، ویندوز سرور 2003، ویندوز سرور 2008 فعال شده است.
  • MS-CHAP v1 : یک روش احراز هویت یک جانبه است که رمزنگاری داده های مربوط به مکانیزم احراز هویت و هم داده های مربوط به ارتباط را ارائه می دهد. یک کلید رمزنگاری مشابه نیز در تمامی ارتباطات مورد استفاده قرارا می گیرد. روش MS-CHAP v1 از کاربرهای قدیمی تر مثل ویندوز 95 و ویندوز 98 نیز پشتیبانی می کند.
  • (Extensible Authentication Protocol =Message Digest 5 Challenge Handshake Authentication Protocol (EAP- MD5 CHAP : یک نسخه از روش CHAP ( به گزینه های بعدی توجه کنید.) است که به چارچوب EAP راه پیدا می کند. EAP-MD5 CHAP رمزنگاری داده های احراز هویت را از طریق استاندارد hash کردن MD5 پشتیبانی می کند و سازگاری با کاربران غیرمایکروسافتی مانند کاربران اجرا کننده Mac OSX را فراهم می کند. این روش از رمزنگاری داده های مربوط به برقراری ارتباط پشتیبانی نمی کند.
  • (Challenge Handshake Authentication Protocol (CHAP : یک روش احراز هویت عمومی است که امکان رمزنگاری داده های احراز هویت را به وسیله hash کردن مربوط به MD5 ارائه می کند.
  • CHAP همچنین سازگاری با کاربر غیر مایکروسافتی را فراهم می کند. Group Policy که با استفاده از این احراز هویت به حساب های کاربری اعمال می شود باید طوری پیکربندی شود که کلمه های عبور را با استفاده از رمزنگاری برگشت پذیر، ذخیره کند (کلمه های عبور پس از اعمال سیاست جدید مجددا تنظیم شوند). این روش از رمزنگاری داده های مربوط به برقراری ارتباط پشتیبانی نمی کند.
  • (Shiva Password Authentication Protocol (SPAP : یک روش احراز هویت رمزنگاری ضعیف می باشد که قابلیت همکاری با محصولات Shiva در شبکه های از راه دور را ارائه می دهد. SPAP از رمزنگاری داده های مربوط به ارتباط پشتیبانی نمی کند.
  • (Password Authentication Protocol (PAP : یک روش احراز هویت عمومی است که از رمزنگاری داده های احراز هویت پشتیبانی نمی کند. اعتبارات کاربر در بسته شبکه به صورت متن معمولی ارسال می شوند، PAP نیز از رمزنگاری داده های مربوط به برقراری ارتباط پشتیبانی نمی کند.
  • Unauthenticated access : این پروتکل احراز هویت نمی باشد، بلکه یک گزینه پیکربندی است –زمانی که بر روی NAS تنظیم شود و سیاست دسترسی از راه دور به ارتباط اعمال شود- به ارتباطات دسترسی از راه دور اجازه می دهد تا بدون ارائه مجوز و اعتبار متصل شوند. این گزینه برای اشکال زدایی یا امتحان برقراری اتصال دسترسی از راه دور کاربرد دارد. این نوع دسترسی از رمزنگاری داده های برقراری ارتباط پشتیبانی نمی کند.

به صورت پیش فرض ،تمامی تلاش های دسترسی از راه دور درون یک فایل متنی در مسیر C:\\Windows\\system32\\LogFiles ذخیره می شود، اما شما می توانید برای گزارش دهی و همبستگی رخدادها به صورت بهینه تر و بهتر آنها را درون یک پایگاه داده SQL ذخیره و ثبت نماید.

پیکربندی دسترسی بی سیم

علاوه بر چالش های دسترسی از راه دور به شبکه سازمانی شما، پیشرفت های اخیر در تکنولوژی های سیار نیاز جدیدی را مبتنی بر تأمین امنیت دیگر انواع دسترسی ها به شبکه ایجاد نموده است .موضوع نگران کننده تأمین امنیت دسترسی های بی سیم از استفاده های غیرمجاز و یا جلوگیری از اتصال بازدید کننده ها و مشاورین به یک شبکه غیر ایمن در یک اتاق کنفرانس برای استفاده از منابع حساس می باشد ، که نیاز به داشتن دسترسی ایمن به شبکه سازمان حتی با وجود نام کاربری و کلمه عبور و فرآیندهای محافظتی احراز هویت که در قبل کافی بوده است، احساس می شود.

برای کمک به تأمین امنیت دسترسی های شبکه چه در ارتباطات سیمی و چه در ارتباطات بی سیم انجمن IEEE اقدام به ایجاد استاندارد 802.1X برای کنترل دسترسی به شبکه نموده است. 802.1X مبتنی بر پورت می باشد، یعنی اینکه می توان دسترسی را براساس یک پورت فیزیکی اجازه داد یا نادیده گرفت ، مثل اینکه شخصی فقط به یک پایه wall jack با استفاده از یک کابل اترنت متصل شود و یا براساس یک پورت منطقی مثل اینکه شخصی به یک Access Point بی سیم با استفاده از کارت های WIFI در یک یا چندین کامپیوتر همراه یا وسیله دستی متصل شود.802.1X امنیت مبتنی بر پورت را با استفاده از سه بخش زیر برقرار می کند:

  • Supplicant : این در حقیقت دستگاهی است که با آن به شبکه دسترسی پیدا می کنید مثل یک کامپیوتر همراه .
  • Authenticator: این بخش اعبارات و مجوزهای مربوط به احراز هویت را برای supplicant درخواست می کند ، که اغلب یک پورت سوئیچ برای ارتباطات سیمی و یا یک نقطه دسترسی بی سیم می باشد. البته برخلاف آن به طور طبیعی اقدام به انجام فرآیند احراز هویت نمی کند بلکه به جای آن اعتبارات Supplicant را برای سرور احراز هویت ارسال می کند.
  • (Authentication Server(AS : همانطور که ذکر شد، این همان سروری است که اعتبارات Supplicant را ارزیابی می کند و چگونگی دسترسی یا عدم دسترسی به پورت شبکه ایمن شده ، 802.1X را به authenticator (تایید کننده اعتبار) اعلام می کند. این سرور در یک زیر ساخت 802.1X می تواند توسط یک کامپیوتر ویندوز سرور 2008 نقش NPS یا هر گونه سرور RADIUS دیگری را اجرا کند.

زمانی که یک پورت سیمی یا بی سیم با وجودد802.1X امنیت لازم را داشته باشد، قبل از هر گونه اعطای مجوز دسترسی به شبکه ، فرآیند زیر صورت می گیرد:

1- authenticator (پورت سوئیچ یا WAP) یک تلاش برای دسترسی را از سمت یک Supplicant جدید شناسایی می کند(یک کاربر بی سیم یا یک کاربر متصل شده به یک پورت فیزیکی).

2- authenticator سپس پورت را (خواه فیزیکی یا منطقی)به عنوان unauthorized (غیرمجاز) تنظیم می کند که تنها ترافیک 802.1X قادر به عبور از آن می باشد.

  1. authenticator سپس یک بسته درخواست EAP را به سمت Supplicant ارسال می کند و اطلاعاتEAP آن را درخواست می کند.Supplicant با یک پاسخ EAP به درخواست authenticator پاسخ می دهد، که authenticator آن را به سمت سرور احراز هویت (AS) هدایت می کند.
  2. اگر AS بسته پاسخ را بپذیرد، به authenticator ابلاغ می کند تا پورت را به عنوان authorized(مجاز) تنظیم نماید که در این صورت ترافیک به صورت نرمال از آن عبور خواهد کرد.
  3. در پایان زمانی که Supplicant دیگر از پورت ایمن استفاده نکند، یک پیغام EAP-Logoff را برای authenticator ارسال می کند و پورت به حالت unauthorized(غیرمجاز) بازگردانده می شود.

برای پیکربندی یک ویندوز سرور 2008 برای داشتن دسترسی های بی سیم شما نیازمند انجام موارد زیر می باشید:

  1. کلاینت RADIUS را نصب و پیکربندی نمایید. در این موارد، کلاینت RADIUS یک کامپیوتر با سیستم عاملهای ویندوز ویستا یا XP نمی باشند، بلکه به جای آن کلاینت RADIUS حاوی سرورهای دسترسی به شبکه مثل سوئیچ های منطبق بر 802.1X و Access Point های بی سیم می باشد.
  2. یک یا چند روش احراز هویت را انتخاب نمایید، برای ارتباطات سیمی و بی سیم مبتنی بر 802.1X شما باید یک یا چند روش احراز هویت زیر را انتخاب نمایید:
  • الف) EAP با TLS (که معمولاً EAP-TLS نامیده می شوند)
  • ب) (PEAP) Protected EAP با MS-CHAP V2 یا PEAP-MS-CHAP V2
  • ج) PEAP با EAP-TLS (که معمولاً PEAP-TLS نامیده می شوند)

3. یک سرور NPS ویندوز سرور 2008 را بعنوان یک سرور RADIUS پیکربندی کنید که این شامل سه مرحله زیر میشود:

  • الف) از این طریق NPS MMC Scap In ، هر سوئیچ یا نقطه دسترسی بی سیم به بعنوان کلاینت RADIUS را اضافه نمایید.
  • ب) سیاست شبکه ای NPS را همان طور که پیش از این ذکر شد پیکربندی کنید تا تعریف کنید. شرایطی که تحت آنها شما می توانید دسترسی های شبکه ای را اجازه دهید یا رد کنید.
  • ج) Accounting را بروی سرور NPS پیکربندی کنید، چه بروی یک فایل متنی و چه بروی یک پایگاه داده SQL.

پروتكل RADIUS برگرفته شده از (Remote Authentication Dial-In User Service) ، استانداردی برای طراحی و پياده سازی سرويس دهندگانی است كه مسئوليت تائيد و مديريت كاربران را برعهده خواهند گرفت.مشخصات و نحوه عملكرد پروتكل RADIUS در RFC 2865 و RFC 2866 تعريف شده است. پروتكل RADIUS از يك معماری سرويس گيرنده - سرويس دهنده برای تائيد و accounting استفاده می نمايد . پروتكل فوق اطلاعات accounting ، پيكربندی ، تائيد و مجوزها را بين يك سرويس گيرنده RADIUS و يك سرويس دهنده RADIUS حمل می نمايد . سرويس گيرنده RADIUS می تواند يك سرويس دهنده دستيابی شبكه ( NAS ، برگرفته شده از network access server ) و يا هر نوع دستگاه مشابه ديگری باشد كه نيازمند تائيد و accounting است. همانگونه كه اشاره گرديد NAS به عنوان يك سرويس گيرنده RADIUS عمل می نمايد . سرويس گيرنده مسئول ارسال اطلاعات كاربر برای سرويس دهنده RADIUS است تا بر اساس نتايج برگردانده شده توسط سرويس دهنده ، در خصوص كاربر تعيين تكليف گردد . سرويس دهندگان RADIUS مسئول دريافت درخواست ارتباط كاربر ، تائيد وی و ارسال اطلاعات پيكربندی مورد نياز برای سرويس گيرنده به منظور عرضه سرويس به كاربر می باشند . يك سرويس دهنده RADIUS می تواند به عنوان يك سرويس گيرنده پراكسی به ساير سرويس دهندگانRADIUS و يا ساير سرويس دهندگان تائيد نيز عمل نمايد. سرويس گيرندگان RADIUS از طريق پورت های 1812 و 1813 پروتكل حمل UDP برگرفته شده از (User Datagram Protocol ) با يك سرويس دهنده RADIUS ارتباط برقرار می نمايند . در نسخه های اوليه پروتكل RADIUS از پورت های 1646 و 1645 پروتكل UDP استفاده می گرديد . پروتكل RADIUS از پروتكل حمل TCP برگرفته شده از (Transmission Control Protocol ) حمايت نمی نمايد. پس از اینکه یک کاربر اعتبار لازم جهت ایجاد یک ارتباط دسترسی از راه دور را فراهم نمود، این ارتباط باید توسط یک سرور، ویندوز سرور 2008 که اجرا کننده سرویس Network Policy Server) NPS) باشد تصویب شود، و یا توسط یک سرویس احراز هویت و تصدیق هویت دیگری مثل Remote Authentication Dial-In User Service (RADIUS) تصویب شود. مجوز دسترسی از راه دور شامل دو مرحله می باشد: # ارزیابی مشخصات شماره گیری مرتبط با کاربر # ارزیابی هر گونه NPS که در مقابل RRAS اعمال می شود. پیاده سازی یک سرور RADIUS یک NPS می باشد . از یک سرور RADIUS به منظور متمرکز سازی عملیات احراز هویت (authentication) ، تصدیق هویت (authorization) و ورود کاربر استفاده نمایید. زمانی که شما یک سرورRADIUS را پیاده سازی می کنید ، چندین کامپیوتر اجرا کننده سرویس RRAS می توانند درخواستهای در دسترس خود را به سرور RADIUS ارسال نمایند. و سپس سرور RADIUS برای انجام فرایند تصدیق و اعمال NPS به درخواستهای ارتباط با دامین کنترلر تماس گرفته و برای آن درخواست ارسال می کند.مفاهیم احراز هویت و تصدیق هویت اغلب مورد اشتباه قرار می گیرند. احراز هویت فرآیندی است که ارزیابی می کند موجودیت یا شیء خاصی نسبت به آنچه ادعا می کند چیست و یا کیست .مثال ها شامل تطابق منبع اطلاعات و تمامیت و درستی اطلاعات می باشد مثل ارزیابی یک امضای دیجیتالی یا ارزیابی شناسه یک کاربر یا یک کامپیوتر ، تصدیق هویت فرآیندی است که مشخص می کند یک کاربر بر روی شبکه یا یک سیستم کامپیوتری چه کاری را اجازه دارد انجام دهد. بطور طبیعی ، فرآیند تصدیق هویت پس از انجام موفقیت آمیزفرایند احراز هویت رخ می دهد. به علاوه اغلب سیستم های دسترسی از راه دور شامل یک بخش بررسی نیز می باشد که دسترسی به منابع را Log می کند. به طور خلاصه : * احراز هویت اثبات می کند که کاربر کیست یا چیست ؟ * تصدیق هویت کنترل می کند که کاربر تصویب شده به چه منابعی حق دسترسی دارد و به چه منابعی ندارد. * Accounting پیگیری می کند که کاربر به چه منابعی دسترسی پیدا کرده یا تلاش کرده تا دسترسی پیدا کند. مشخصات شماره گیری (dial-in) ، که به طور مستقیم به هر ارتباط VPN و dial-up اعمال می شود. از طریق برگه dial-in مربوط به properties حساب کاربری قابل تنظیم است . اگر کاربری اقدام به برقراری تماس با دامنه ای نماید،نام کاربری ارسال شده برای ارتباط dial-up باید در دامنه موجود باشد و با آن مطابقت داشته باشد. مسخصات شماره گیری مربوط به این حساب کاربری همچنین می تواند در کنسول Active Directory Users and Computers نیز تنظیم شوند. اگر کاربر اقدام به شماره گیری به یک سرور stand-alone نماید ،باید یک حساب کاربری درون پایگاه داده Security Accounts manager (SAM) مربوط به سرور پاسخگو وجود داشته باشد. SAM یک سرویس ویندوز است که در مدت فرآیند ورود مورد استفاده قرار می گیرد. SAM اطلاعات مربوط به حساب کاربری را نگهداری می کند که حتی شامل گروهی که کاربر عضو آن است نیز می شود. مشخصات مربوط به شماره گیری این حساب کاربری نیز می تواند در کنسول Local Users And Groups در Computer Management تنظیم شود . درویندوز 2008 گزینه Control access through NPS Network Policy به صورت پیش فرض فعال شده است .شما می توانید اجازه دسترسی از راه دور را برای حسابهای کاربری در یکی از سه سطح زیر تنظیم نمایید: * *Control access through NPS Network Policy *: این گزینه خاص نه اجازه دسترسی dial-up به کاربر را می دهد و نه مانع از دسترسی کاربر می شود. در عوض ،آن مشخص می کند که کاربر مجوزهای دسترسی تعیین شده توسط اولین ماشین سیاست شبکه NPS اعمال شده برای اتصال را داشته باشد (به صورت پیش فرض،ساست شبکه NPS مانع از دسترسی تمامی ارتباطات دسترسی از راه دور می شود). * *Deny access :* اگر شما این گزینه را انتخاب نمایید، دسترسی dial-up برای حساب کاربری بلوکه می شود: علی رغم دیگر تنظیمات یا سیاست هایی که به حساب کاربری اعمال می شود. * *Allow access :* زمانی که شما این گزینه را انتخاب کنید دسترسی از راه دور dial-up برای حساب کاربری اجازه داده می شود که در نتیجه تنظیمات دسترسی از راه دور در سیاست شبکه NPS نیز لغو می شود. دقت داشته باشید که تنظیمات Allow access همیشه از سیاست شبکه NPS که مانع دسترسی از راه دور شود جلوگیری نمی کند. یک سیاست شبکه ای NPS همچنان می تواند دسترسی از راه دور حساب ها را از طریق پروفایل ساست شبکه NPS محدود کند. برای مثال ، ساعات اتصال مشخص شده در یک پروفایل سیاست شبکه NPS از دسترسی کاربر برای ارتباط در ساعات عصر جلوگیری می کند، حتی در صورتیکه گزینه Allow access برای حساب کاربری درون مشخصات شماره گیری تنظیم شده باشد. به هر حال ،گزینه Allow access مشخص می کند که تنظیمات مربوط به Deny Remote Access Permission درون سیاست شبکه ای NPS نادیده گرفته می شوند. اگر گزینه Verify Caller- ID انتخاب شده باشد، سرور شما هر تلفن تماس گیرنده را ارزیابی می کند. اگر شماره تلفن با شماره تلفن تنظیم شده مطابقت نداشته باشد،تلاش برای برقراری ارتباط با شکست روبرو می شود. توجه داشته باشید که تماس گیرنده ،سیستم تلفنی بین تماس گیرنده و سرور و نیز سرور دسترسی از راه دور باید از تکنولوژی callrr ID پشتیبانی نمایند. بر روی یک کامپیوتر اجرا کننده سرویس RRAS ، پشتیبانی از caller ID شامل تجهیزات call answering (پاسخگوی تماس) می باشد، که اطلاعات مربوط به شناسه تماس گیرنده و نیز درایور ویندوز متناسب جهت گذر اطلاعات به سمت سرویس RRAS را فراهم می کند. اگر شما شماره تلفن یک تماس گیرنده را برای یک کاربر تنظیم می کنید ولی شما از گذر اطلاعات caller ID از تماس گیرنده به سمت سرویس RRAS پشتیبانی نکنید،تلاش برای برقراری ارتباط با شکست روبرو می شود.به صورت پیش فرض، Callback Options به صورت No Callback تنظیم شده است ، اگر گزینه Set by Caller انتخاب شده باشد،سرور یا تماس گیرنده با شماره مشخص شده توسط تماس گیرنده تماس می گیرد. اگر گزینه Always Callback to : انتخاب شده باشد، مدیر شبکه باید شماره ای را مشخص کند که سرور در مدت فرآیند Callback همیشه از آن استفاده نماید. به علاوه ، شما می توانید برای این کار یک و یا چند آدرس IP ثابت را پیکربندی کنید برای هر زمانی که کاربر به یک سرور دسترسی از راه دور متصل می شود. !!!! اعمال سیاستهای شبکه ای NPS یک سیاست شبکه NPS مجموعه ای از مجوزها و محدودیت ها است که توسط یک سرور تصدیق دسترسی از راه دور خوانده شده و به اطلاعات دسترسی از راه دور اعمال می شود. مجوزهای دسترسی از راه دور به آسانی قابل درک می باشند و در ویندور NT4.0 و ویندوز NT 3.51 پیاده سازی شده اند. مجوزهای دسترسی از راه دور به صورت مستقیم به حسابهای مربوط به کاربران و از طریق ابزارهای User Manager و یا Remote Access Administration اعطا می شود، که این امری ساده و آسان می باشد و البته در صورتی که هر چه تعداد کاربران نیازمند اعطای کمتر باشد، ایده آل تر کار خواهد کرد. در ویندوز سرور 2008 ، ویندوز سرور 2003 و ویندوز 2000 سرور تصدیق هویت از راه دور پیچیده تر می باشد و در نتیجه تلاش بیشتری را برای درک آن نیازمند است . به هر حال ، قدرتمند تر بوده و نیازهای امنیتی بیشتری را برای سازمان های کوچک و بزرگ فراهم می کند. * *نکته امنیتی :* پیکربندی سیاستهای شبکه ای NPS در پیاده سازی کنترل های تصدیق هویت کاربر برای اتصالات بیرونی، کنترل اتصال به شبکه ، خروج زمانی از لایه ارتباطی و محدود سازی زمان اتصال ،محاسبه و ارتباطات سیار در استاندارد سیستم مدیریت امنیت اطلاعات تأثیرگذار می باشد. * *نکته :* سیاستهای شبکه ای NPS در ویندوز سرور 2008 با سیاستهای دسترسی از راه دور درون ویندوز سرور 2003 و ویندوز 2000 سرور قابل مقایسه است. همانطور که پیش از این ذکر شد، تصدیق هویت توسط ترکیب مشخصات شماره گیری مربوط به حساب کاربری و نیز گروه ها، زمان ،نوع ارتباط درخواست شده و دیگر متغیرها ، تصویب می شود و یا با شکست مواجه می شود. با استفاده از NPST ، یک کامپیوتر ویندوز سرور 2008 می تواند به عنوان یک سرور RADIUS عمل کند و عملیات احراز هویت ، تصدیق هویت و accounting را برای دستیابی به منابع شبکه ای انجام دهد. !!!! پیکربندی یک سیاست شبکه NPS یک سیاست شبکه ای NPS ، که در حقیقت قانونی برای ارزیابی ارتباطات راه دور می باشد دارای سه بخش می باشد: Conditions (شرایط) ، Constrains (محدودیت ها) و Settings ( تنظیمات) . شما می توانید در مورد یک سیاست شبکه NPS به عنوان یک قانون برای اجازه یا عدم اجازه دسترسی از راه دور فکر کنید: ویندوز سرور 2008 هر گونه تلاش برای برقراری ارتباط با قوانین پیکربندی شده درون هر سیاست شبکه ای NPS را مقایسه می کند. اگر شرایط و محدودیت های تعریف شده توسط ارتباط درخواستی با موارد تنظیم شده در سیاست شبکه ای مطابقت داشته باشد سرور دسترسی از راه دور به برقراری ارتباط اجازه می دهد یا اجازه نمی دهد و سپس تنظیمات اضافی دیگری را همان گونه که توسط سیاست تعریف شده است نیز پیکربندی می کند. هر کدام از سیاست های دسترسی از راه دور دارای تنظیمات مرتبط به مجوزهای دسترسی (Access permission) می باشند که مشخص می کند آیا ارتباط منطبق با سیاست اجازه داده شود یا خیر.زمانی که کاربری اقدام به اتصال به یک سرور دسترسی از راه دور می کند، فرآیند زیر که در شکل توضیح داده شده است اتفاق می افتد: # کاربر تلاش می کند تا یک ارتباط دسترسی از راه دور را آغاز نماید. # سرور دسترسی از راه دور شرایط درون اولین سیاست شبکه ای NPS پیکربندی شده را چک می کند. # اگر شرایط بالا هماهنگ و مطابقت نداشته باشد، سرور دسترسی از راه دور دیگری سیاست شبکه ای NPS باقی مانده را چک می کند تا زمانی که یک هماهنگی پیدا کند. # هنگامی که سرور دسترسی از راه دور دریابد که تلاش وارده برای برقراری ارتباط با سیاست شبکه NPS مطابقت دارد،آنگاه سرور هر گونه محدودیت هایی را که برای این سیاست تنظیم شده است را چک می کند. # اگر ارتباط درخواست شده با هیچ یک از محدودیت های تنظیم شده هماهنگی نداشته باشد- زمان در روز ، حداقل سطح رمزگذاری و غیره – آنگاه سرور دسترسی از راه دور این ارتباط را از بین می برد. # اگر ارتباط درخواست شده با شرایط و محدودیت های تنظیم شده با یکی از سیاست هاس شبکه ای NPS خاص، هماهنگی داشته باشد، آنگاه سرور دسترسی از راه دور بر اساس مجوزهای دسترسی پیکربندی شده برای آن سیاست به آن ارتباط اجازه می دهد یا اجازه نمی دهد. ||http://network.tosinso.com/files/get/10b5f2b1-a756-45b6-956b-56ac4563fb19|| سیاست شبکه ای NPS بر روی هر سرور دسترسی از راه دور تدارک دیده می شود و هر سیاست از بالا به پایین ارزیابی می شود. قرار دادن سیاست ها به ترتیب درست ، از اهمیت خاصی برخوردار است ، چرا که به محض اینکه سرور RRAS یک هماهنگی را پیدا کند، فرآیند پردازش دیگر سیاست ها را متوقف می سازد. برای مثال، اگر شما یک سیاست شبکه NPS را به این صورت داشته باشید که << تمامی ارتباط ها بین ساعات 8 صبح تا 5 بعداز ظهر نادیده گرفته شوند>> و به عنوان اولین سیاست تنظیم شده باشد، آنگاه سرور RRAS تمامی ارتباطات در مدت زمان مشخص شده را نادیده می گیرد، حتی اگر شما سیاست مهمتری در پایین لیست داشته باشید. به عنوان بهترین کار، سیاست های شبکه NPS باید طوری مرتب شوند که سیاست های خاص تر در بالای لیست قرار بگیرند و سیاست های غیرخاص در پایین لیست قرار بگیرد و به این ترتیب سیاست ها به صورت صحیح پردازش می شوند. برای مثال ، شما ممکن است دو سیاست را به صورت زیر داشته باشید: # اگر یک کاربر عضو گروه”Remote Consultant” باشد ، بدون توجه به زمان ، ارتباط اجازه داده شود. # تمامی ارتباط های بین ساعت 8 صبح تا 5 بعد از ظهر از روز دوشنبه تا جمعه بدون توجه به دیگر شرایط نادیده گرفته شود. در این سناریو، یک عضو گروه Remote Consultant قادر به برقراری ارتباط در ساعت 10 صبح روز شنبه خواهد بود . چرا که با سیاست شماره یک مطابقت دارد و قبل از سیاست شماره دو پردازش می شود. اگر کاربری عضو گروه مذکور نباشد ، با سیاست شماره یک هماهنگی نخواهد داشت و سیاست شماره تأثیرگذار می باشد.در ویندوز سرور 2008 به صورت پیش فرض دو سیاست شبکه NPS پیکربندی شده است. اولین سیاست پیش فرض، مربوط به ارتباطات Routing and Remote Access Server مایکروسافت می باشد، و برای هماهنگی تمامی ارتباط های دسترسی از راه دور با سرویس RRAS پیکربندی شده است . زمانی که RRAS این سیاست را مطالعه می کند، سیاست به صورت طبیعی با هرگونه ارتباط ورودی تطابق پیدا می کند. اگر یک سرور RADIUS و یا یک مکانیزم احراز هویت Third – party (سوم شخص تصدیق کننده) دیگری این سیاست را مطالعه کند دسترسی شبکه ممکن است توسط یک سازنده غیرمایکروسافتی تدارک دیده شود. در نتیجه این سیاست با آن ارتباطات مطابقت نخواهد داشت. دومین سیاست پیش فرض مربوط به ارتباطات دیگر سرورهای دسترسی از راه دور می باشد این سیاست برای تطابق و هماهنگی هرگونه ارتباط ورودی بدون توجه به نوع سرور دسترسی به شبکه ، پیکربندی شده است به دلیل اینکه اولین سیاست با تمامی ارتباطات ارسالی به سرور RRAS هماهنگی دارد، این سیاست تنها زمانی موثر است که ارتباط ورودی توسط یک سرور RADIUS یا مکانیزم احراز هویت دیگری، تصدیق شده باشد. !!!! پیکربندی شرایط اعمال سیاست هر سیاست شبکه NPS براساس شرایط سیاستی می باشد که مشخص می کند چه زمانی سیاست باید اعمال شود . برای مثال ، یک سیاست ممکن است حاوی شرطی معین براین باشد که Windows Groups با WINGTIPTOYS\\Telecommuters هماهنگ باشد . این سیاست سپس ممکن است با یک ارتباط مربوط به کاربری عضو گروه امنیتی Telecommuters هماهنگی و مطابقت کند.با کلیک کردن بر روی دکمه Add درون کادر محاوره ای select Attribute از برگه conditions، شما می توانید یک گروه جدید برای یک شرط سیاست دسترسی از راه دور، اضافه نمایید. * *نکته:* تنها عضویت در گروه های global security می تواند به عنوان یک شرط سیاست از راه دور خدمت کند. شما نمی توانید عضویت در گروه های امنیتی domain local و یا universal را به عنوان شرطی برای یک سیاست دسترسی از راه دور مشخص کنید. !!!! پیکربندی تنظیمات اعمال سیاست یک پروفایل سیاست شبکه NPS حاوی مجموعه ای از تنظیمات و مشخصات است که می توانند به یک ارتباط اعمال شوند. شما می توانید یک پروفایل NPS را از طریق کلیک کردن بر روی برگه Settings در صفحه Properties سیاست ، پیکربندی نمایید. نمونه ای از تنظیمات سیاست NPS حاوی مشخصات IP است که رفتار تخصیص آدرس IP را مشخص می کند. شما دارای گزینه های زیر می باشید: * سرور باید یک آدرس IP را تدارک ببیند. * کاربر ممکن است یک آدرس IP را درخواصت نماید. * تنظیمات سرور تخصیص آدرس IP را مشخص می کند. (تنظیمات پیش فرض ) * یک آدرس IP ثابت را تخصیص دهید. آدرس IP تخصیص داده شده به طور نمونه برای تطابق با ویژگی های مشخص شده توسط تولید کننده (سازنده) برای آدرس های IP، استفاده می شود. به علاوه شما می توانید مشخصات مربوط به multilink را نیز تنظیم کنید که یک ارتباط دسترسی از راه دور را قادر می سازد تا از چندین مودم برای تنها یک ارتباط استفاده کند و حداکثر تعداد پورت هایی(مودم) را که یک ارتباط multilink می تواند استفاده کند را مشخص می کند،همچنین می توانید سیاستهای مربوط به Bandwidth Allocation Protocol(BAP) را نیز تنظیم کنید که کاربرد و استفاده از BAP و اینکه چه زمانی خطوط BAP اضافه یا حذف شوند را مشخص می کند. تمامی مشخصات مرتبط با multilink و BAP در سرویس RRAS مشخص شده است. به صورت پیش فرض BAP وmultilink به صورت غیرفعال می باشند. سرویس RRAS به منظور اجرای ویژگیهای مربوط به پروفایل multilink باید این دو کاربرد را فعال کند.در نهایت چهار روش رمزنگاری در برگه Encryption در دسترس می باشد: * *(Basic Encryption (MPPE 40-Bit : *برای ارتباطات dial-up و VPN مبتنی بر PPTP می باشد و این روش با یک کلید 40 بیتی مورد استفاده قرار می گیرد. در ارتباطات VPN مبتنی بر L2TP/IPSec روش DEC با 56 بیت مورد استفاده قرار می گیرد. * *(Strong Encryption (MPPE 56-bit :* برای ارتباطات dial-up و VPN مبتنی بر PPTP می باشد که با یک کلید 66 بیتی مورد استفاده قرار می گیرد. و برای ارتباطات VPN مبتنی بر L2TP/IPSec مانند DEC با 56 بیت استفاده می شود. * *(Strong Encryption (MPPE 128-bit :* برای ارتباطات dial-up و VPN مبتنی بر PPTP مانند MPPE با کلید 128 بیتی مورد استفاده قرار می گیرد. برای ارتباطات VPN مبتنی بر L2TP/IPSec ، روش Triple DES با 168 بیت استفاده می شود. * *NC Encryption :* این گزینه به ارتباط های رمزگذاری نشده ای اجازه می دهد که با شرایط مربوط به سیاست دسترسی از راه دور هماهنگی دارند. برای استفاده از رمز گذاری علامت این گزینه را بردارید. !!!! انتخاب پروتکل احراز هویت برای احراز هویت یا تصدیق کردن اعتبار ارائه شده توسط ارتباطات dial-up ابتدا سرور دسترسی از راه دور باید با کاربران طبق یک پروتکل احراز هویت رایج مذاکراتی را انجام دهد. اغلب پروتکل های احراز هویت برخی معیارهای امنیتی را در نظر می گیرند که اعتبارات کاربر می تواند در آنها نفوذ کند. پروتکل های احراز هویت به کاربران در سرورهای تحت سیستم عامل ویندوز اولویتی بر اساس سطح امنیتی تخصیص می دهند.در زیر لیست کاملی از تمامی پروتکل های احراز هویت ( به ترتیب از امن ترین تا کم ترین امنیت لیست شده اند)، که توسط سرویس RRAS در ویندوز سرور 2008 پشتیبانی می شوند آمده است : * *EAP -TLS :* یک روش احراز هویت مبتنی بر گواهینامه است که براساس EAP بوده و دارای یک چارچوب توسعه پذیر است که در روش های جدید احراز هویت پشتیبانی می شود. EAP-TLS برای ترکیب با کارت های هوشمند استفاده می شود. این روش هم از رمز نگاری داده های احراز هویت و هم از داده های مربوط به برقراری ارتباط پشتیبانی می کند، دقت داشته باشید که سرورهای stand-alone روش EAp-TLS را پشتیبانی نمی کنند و سرور دسترسی از راه دور که ویندوز سرور 2008 را اجرا می کند باید عضوی از یک دامنه باشد. * *MS-CHAP v2 :*یک روش احراز هویت دو جانبه است که رمز نگاری هم داده های مربوط به مکانیزم احراز هویت و هم داده های مربوط به برقراری ارتباط را ارائه می کند. یک کلید رمز گزاری جدید برای هر ارتباط و هر مسیر انتقال ، مورد استفاده قرار می گیرد. این روش به صورت پیش فرض در ویندوز 2000 ، ویندوز XP ، ویندوز سرور 2003، ویندوز سرور 2008 فعال شده است. * *MS-CHAP v1 :* یک روش احراز هویت یک جانبه است که رمزنگاری داده های مربوط به مکانیزم احراز هویت و هم داده های مربوط به ارتباط را ارائه می دهد. یک کلید رمزنگاری مشابه نیز در تمامی ارتباطات مورد استفاده قرارا می گیرد. روش MS-CHAP v1 از کاربرهای قدیمی تر مثل ویندوز 95 و ویندوز 98 نیز پشتیبانی می کند. * *(Extensible Authentication Protocol =Message Digest 5 Challenge Handshake Authentication Protocol (EAP- MD5 CHAP :* یک نسخه از روش CHAP ( به گزینه های بعدی توجه کنید.) است که به چارچوب EAP راه پیدا می کند. EAP-MD5 CHAP رمزنگاری داده های احراز هویت را از طریق استاندارد hash کردن MD5 پشتیبانی می کند و سازگاری با کاربران غیرمایکروسافتی مانند کاربران اجرا کننده Mac OSX را فراهم می کند. این روش از رمزنگاری داده های مربوط به برقراری ارتباط پشتیبانی نمی کند. * *(Challenge Handshake Authentication Protocol (CHAP :* یک روش احراز هویت عمومی است که امکان رمزنگاری داده های احراز هویت را به وسیله hash کردن مربوط به MD5 ارائه می کند. * *CHAP* همچنین سازگاری با کاربر غیر مایکروسافتی را فراهم می کند. Group Policy که با استفاده از این احراز هویت به حساب های کاربری اعمال می شود باید طوری پیکربندی شود که کلمه های عبور را با استفاده از رمزنگاری برگشت پذیر، ذخیره کند (کلمه های عبور پس از اعمال سیاست جدید مجددا تنظیم شوند). این روش از رمزنگاری داده های مربوط به برقراری ارتباط پشتیبانی نمی کند. * *(Shiva Password Authentication Protocol (SPAP :* یک روش احراز هویت رمزنگاری ضعیف می باشد که قابلیت همکاری با محصولات Shiva در شبکه های از راه دور را ارائه می دهد. SPAP از رمزنگاری داده های مربوط به ارتباط پشتیبانی نمی کند. * *(Password Authentication Protocol (PAP :* یک روش احراز هویت عمومی است که از رمزنگاری داده های احراز هویت پشتیبانی نمی کند. اعتبارات کاربر در بسته شبکه به صورت متن معمولی ارسال می شوند، PAP نیز از رمزنگاری داده های مربوط به برقراری ارتباط پشتیبانی نمی کند. * *Unauthenticated access :* این پروتکل احراز هویت نمی باشد، بلکه یک گزینه پیکربندی است –زمانی که بر روی NAS تنظیم شود و سیاست دسترسی از راه دور به ارتباط اعمال شود- به ارتباطات دسترسی از راه دور اجازه می دهد تا بدون ارائه مجوز و اعتبار متصل شوند. این گزینه برای اشکال زدایی یا امتحان برقراری اتصال دسترسی از راه دور کاربرد دارد. این نوع دسترسی از رمزنگاری داده های برقراری ارتباط پشتیبانی نمی کند. به صورت پیش فرض ،تمامی تلاش های دسترسی از راه دور درون یک فایل متنی در مسیر C:\\Windows\\system32\\LogFiles ذخیره می شود، اما شما می توانید برای گزارش دهی و همبستگی رخدادها به صورت بهینه تر و بهتر آنها را درون یک پایگاه داده SQL ذخیره و ثبت نماید. !!!! پیکربندی دسترسی بی سیم علاوه بر چالش های دسترسی از راه دور به شبکه سازمانی شما، پیشرفت های اخیر در تکنولوژی های سیار نیاز جدیدی را مبتنی بر تأمین امنیت دیگر انواع دسترسی ها به شبکه ایجاد نموده است .موضوع نگران کننده تأمین امنیت دسترسی های بی سیم از استفاده های غیرمجاز و یا جلوگیری از اتصال بازدید کننده ها و مشاورین به یک شبکه غیر ایمن در یک اتاق کنفرانس برای استفاده از منابع حساس می باشد ، که نیاز به داشتن دسترسی ایمن به شبکه سازمان حتی با وجود نام کاربری و کلمه عبور و فرآیندهای محافظتی احراز هویت که در قبل کافی بوده است، احساس می شود. برای کمک به تأمین امنیت دسترسی های شبکه چه در ارتباطات سیمی و چه در ارتباطات بی سیم انجمن IEEE اقدام به ایجاد استاندارد 802.1X برای کنترل دسترسی به شبکه نموده است. 802.1X مبتنی بر پورت می باشد، یعنی اینکه می توان دسترسی را براساس یک پورت فیزیکی اجازه داد یا نادیده گرفت ، مثل اینکه شخصی فقط به یک پایه wall jack با استفاده از یک کابل اترنت متصل شود و یا براساس یک پورت منطقی مثل اینکه شخصی به یک Access Point بی سیم با استفاده از کارت های WIFI در یک یا چندین کامپیوتر همراه یا وسیله دستی متصل شود.802.1X امنیت مبتنی بر پورت را با استفاده از سه بخش زیر برقرار می کند: * *Supplicant :* این در حقیقت دستگاهی است که با آن به شبکه دسترسی پیدا می کنید مثل یک کامپیوتر همراه . * *Authenticator: *این بخش اعبارات و مجوزهای مربوط به احراز هویت را برای supplicant درخواست می کند ، که اغلب یک پورت سوئیچ برای ارتباطات سیمی و یا یک نقطه دسترسی بی سیم می باشد. البته برخلاف آن به طور طبیعی اقدام به انجام فرآیند احراز هویت نمی کند بلکه به جای آن اعتبارات Supplicant را برای سرور احراز هویت ارسال می کند. * *(Authentication Server(AS :* همانطور که ذکر شد، این همان سروری است که اعتبارات Supplicant را ارزیابی می کند و چگونگی دسترسی یا عدم دسترسی به پورت شبکه ایمن شده ، 802.1X را به authenticator (تایید کننده اعتبار) اعلام می کند. این سرور در یک زیر ساخت 802.1X می تواند توسط یک کامپیوتر ویندوز سرور 2008 نقش NPS یا هر گونه سرور RADIUS دیگری را اجرا کند. زمانی که یک پورت سیمی یا بی سیم با وجودد802.1X امنیت لازم را داشته باشد، قبل از هر گونه اعطای مجوز دسترسی به شبکه ، فرآیند زیر صورت می گیرد: 1- *authenticator *(پورت سوئیچ یا WAP) یک تلاش برای دسترسی را از سمت یک Supplicant جدید شناسایی می کند(یک کاربر بی سیم یا یک کاربر متصل شده به یک پورت فیزیکی). 2- authenticator سپس پورت را (خواه فیزیکی یا منطقی)به عنوان unauthorized (غیرمجاز) تنظیم می کند که تنها ترافیک 802.1X قادر به عبور از آن می باشد. # authenticator سپس یک بسته درخواست EAP را به سمت Supplicant ارسال می کند و اطلاعاتEAP آن را درخواست می کند.Supplicant با یک پاسخ EAP به درخواست authenticator پاسخ می دهد، که authenticator آن را به سمت سرور احراز هویت (AS) هدایت می کند. # اگر AS بسته پاسخ را بپذیرد، به authenticator ابلاغ می کند تا پورت را به عنوان authorized(مجاز) تنظیم نماید که در این صورت ترافیک به صورت نرمال از آن عبور خواهد کرد. # در پایان زمانی که Supplicant دیگر از پورت ایمن استفاده نکند، یک پیغام EAP-Logoff را برای authenticator ارسال می کند و پورت به حالت unauthorized(غیرمجاز) بازگردانده می شود. برای پیکربندی یک ویندوز سرور 2008 برای داشتن دسترسی های بی سیم شما نیازمند انجام موارد زیر می باشید: # کلاینت RADIUS را نصب و پیکربندی نمایید. در این موارد، کلاینت RADIUS یک کامپیوتر با سیستم عاملهای ویندوز ویستا یا XP نمی باشند، بلکه به جای آن کلاینت RADIUS حاوی سرورهای دسترسی به شبکه مثل سوئیچ های منطبق بر 802.1X و Access Point های بی سیم می باشد. # یک یا چند روش احراز هویت را انتخاب نمایید، برای ارتباطات سیمی و بی سیم مبتنی بر 802.1X شما باید یک یا چند روش احراز هویت زیر را انتخاب نمایید: * الف) EAP با TLS (که معمولاً EAP-TLS نامیده می شوند) * ب) (PEAP) Protected EAP با MS-CHAP V2 یا PEAP-MS-CHAP V2 * ج) PEAP با EAP-TLS (که معمولاً PEAP-TLS نامیده می شوند) 3. یک سرور NPS ویندوز سرور 2008 را بعنوان یک سرور RADIUS پیکربندی کنید که این شامل سه مرحله زیر میشود: * الف) از این طریق NPS MMC Scap In ، هر سوئیچ یا نقطه دسترسی بی سیم به بعنوان کلاینت RADIUS را اضافه نمایید. * ب) سیاست شبکه ای NPS را همان طور که پیش از این ذکر شد پیکربندی کنید تا تعریف کنید. شرایطی که تحت آنها شما می توانید دسترسی های شبکه ای را اجازه دهید یا رد کنید. * ج) Accounting را بروی سرور NPS پیکربندی کنید، چه بروی یک فایل متنی و چه بروی یک پایگاه داده SQL. ||http://network.tosinso.com/files/get/3192a529-3679-4b09-9640-b10ab138d95d|| نویسنده : منبع:|جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو::https://microsoft.tosinso.com| هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

نویسنده :

منبع:جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

3 12

نظرات