محمد نصیری
هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

کاملترین آموزش راه اندازی NAP در ویندوز سرور | گام به گام

در این سری مطلب ابتدا به بررسی این می پردازین که سرویس Network Access Protection چیست و سپس بصورت قدم به قدم نحوه پیاده سازی آن را شرح خواهیم داد . Network Access Protection سرویسی بود که با معرفی ویندوز سرور 2008 یا بهتر بگوییم ویندوز Longhorn به بازار معرفی شد . اما در آن زمان صرفا به عنوان یک سرویس معرفی شد و چندان کاربردی نداشت ، ضمن اینکه به عنوان نسخه آزمایشی ارائه شده بود .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

اما با گذشت زمان و ارائه ویندوز سرور 2008 و 2008 R2 این سرویس وارد محیط عملیاتی شد و بر همین اساس من نیز تصمیم گرفتم یک سری مقاله در خصوص شیوه پیاده سازی این سرویس برای شما دوستان آماده کنم . اکثر مواردی را که در این سری مقالات می خوانید بروز هستند اما ممکن است بر حسب تغییرات زیادی که مایکروسافت در محصولاتش می دهد کمی تغییر کرده باشد اما مطمئن باشید تغییرات محسوس نیستند .

هدف من از نگارش این سری مقاله آموزش این سرویس زیبا و امنیتی بسیار خوب به دوستانی است که تاکنون به قابلیت های ویندوز سرور 2008 شک داشتند ، پیاده سازی این سرویس به نظر کمی دشوار می آید اما با ما باشید تا انتهای سری مقالات تا این مسئله برایتان آسان شود . این مقالات بصورت قدم به قدم می باشد و امیدوارم عمری باقی باشد تا ادامه مقالات را به ترتیب در وب سایت توسینسو قرار بدهم . به سراغ اصل موضوع می رویم.

NAP چیست؟ معرفی Network Access Protection

Network Access Protection یا به اختصار NAP برای اداره کردن یکی از ناامیدی های واقعی و اصلی مدیران شبکه های کامپیوتری ایجاد شد ، مشکلی که هر مدیر شبکه با آن مواجه شده و تجربه آن را دارد . به عنوان یک مدیر شبکه مطمئن هستم که شما زمان و انرژی زیادی را برای امن سازی شبکه خود تا جای ممکن صرف کرده اید .

اما نکته اینجاست که برخی از ماشین هایی که در شبکه قرار دارند حارج از حیطه کنترل شما هستند و شما هیچگونه کنترل مستقیمی نمی توانید بر روی آنها داشته باشید ، این سیستم ها در فرآیند امن سازی شبکه کار ما را واقعا دشوار می کنند . شاید در برخی اوقات امن سازی شبکه در این موارد غیر ممکن به نظر برسد .

خوب فکر میکنم منظورم را متوجه شده اید ، بله منظورم کاربران ریموت هستند . شما براحتی می توانید لپ تاپ ها و کامپیوتر هایی را که در شبکه داخلی شما قرار دارند را امن کنید و تمهدیات امنیت خود را بر روی دسکتاپ آنها اعمال کنید ، البته باید دقت کنید که این لپتاپ ها جزء اموال سازمان شما محسوب شوند .

خوب تا اینجا مشکلی نیست ف تا اینکه برخی از کاربران شما تصمیم می گیرند که با استفاده از لپتاپ و کامپیوتر خود ار بیرون از سازمان و با استفاده از یک ارتباط VPN به شبکه داخلی متصل شده و برخی از کارهای سازمانی خود را از راه دور و زمانی که در مسافرت به سر می برند انجام دهند . به دلیل اینکه این دستگاه ها دیگر جزء اموال سازمان شما محسوب نمی شوند مدیریت آنها بسیار سخت خواهند بود و شما به عنوان مدیر شبکه هیچگونه دسترسی مستقیمی به آنها نخواهید داشت .

قبل از اینکه سرویس Network Access Protection معرفی شود به شخصه تا جایی که می توانستم با اتصال کامپیوترهایی که مدیر شبکه نمی توانست به آنها دسترسی و کنترل مدیریتی کامل را داشته باشد به شبکه داخلی مبارزه می کردم . دلایل خاص خودم را دارم ، در این چند سالی که به عنوان مدیر شبکه در شبکه های مختلف مشغول به کار بوده ام تجربیات بسیار بدی از اینگونه اتصال های از راه دور بدست آورده ام.

این چیز عجیب و غریبی نیست که کامپیوترهایی که به این روش به شبکه داخلی سازمان متصل می شوند ممکن است آنتی ویروس نداشته باشند و یا مملو از کدهای مخرب و ویروس و ... باشند و از این بدتر از سیستم عامل های بروز رسانی نشده استفاده کنند . ما کاربرانی را داریم که همچنان از ویندوز XP بدون سرویس پک برای برقراری اینگونه ارتباطات استفاده می کنند !!!!

Network Access Protection برای حل کردن این مشکلات به وجود آمده است. زمانی که یک کاربر توسط ارتباط از راه دور هب شبکه متصل می شود ابتدا توسط یک سیستم یا بهتر بگوییم یک policy امنیتی سلامتش بر اساس یک سری معیار تعیین شده توسط مدیر شبکه بررسی می شود که به آن به اصطلاح Health Policy گفته می شود .

این Health Policy بر اساس معیار هایی که هر سازمان تعیین می کند می توانید متغیر باشد ، در برخی از سازمان ها معیاز بروز بودن آنتی ویروس ، نصب شدن آخرین بسته های بروز رسانی و امنیتی سیستم عامل و امثال اینها می تواند باشد .اگر سیستمی که به شبکه متصل شده است در مقایسه با این policy توانست حد نصاب قبولی را بدست بیاورد ، براحتی می تواند به شبکه متصل شده و مثل حالت عادی از منابع شبکه استفاده کند .

اما اگر شرایط لازم را برای اتصال نداشت چندین حالت برای برخورد با آن وجود دارد ، ابتدا اینکه دسترسی کاربر مورد نظر به شبکه را کاملا قطع می کنیم ، در روش دوم مشکلات سیستم را تا جای امکان حل می کنیم تا بتواند به شرایط مطلوب برای برقراری ارتباط برسد و در نهایت اینکه به کاربر اجازه دسترسی می دهیم اما وضعیت سیستمی که به شبکه متصل شده است را دائما مانیتور و چک می کنیم ، البته منظور از اینکه این کار را می کنیم یعنی سیستم اینکار را انجام می دهد و شما صرفا یکبار اینکار را انجام می دهید.

واژه نامه NAP : کلماتی که باید در راه اندازی NAP بشناسید

قبل از اینکه وارد جزئیات تنظیمات Network Access Protection شویم بهتر است با برخی از واژه هایی که مایکروسافت برای استفاده از این سیستم در راهنماهای خود استفاده می کند آشنا شویم تا در حین مطالعه مقاله ها به مشکلی برخورد نکنیم :

  • Enforcement Client که به اختصار EC هم گفته می شود . Enforcement Client چیزی نیست به غیر از ماشینی که قصد برقراری ارتباط با شبکه را دارد . به خاطر داشته باشید که همه client ها یا بهتر بگوییم workstation ها با سرویس Network Access Protection هماهنگی و همخوانی ندارند . برای اینکه در سرویس NAP بتوانید به عنوان یک Enforcement Client شناخته شوید بایستی سیستم شما توانایی اجرای کامپوننت System Health Agent component بر روی خود را داشته باشد ، در خصوص این Agent بعدا بصورت مفصل صحبت خواهم کرد . تنها سیستم عامل های ویندوز ویستا و ویندوز XP سرویس پک 3 و ویندوز سون هستند که قابلیت نصب System Health Agent بر رور خود را دارند بنابراین اینها تنها سیستم عامل هایی خواهند بود که در ساختار سناریوی ما می توانند قرار بگیرند.
  • System Health Agent که به اختصار SHA هم گفته می شود ، البته این را با الگوریتم hashing ای که با همین نام وجود دارد اشتباه نگیرید. System Health Agent به عنوان یک سرویس بر روی سیستم های کلاینت نصب شده و تمامی فعالیت هایی که در Windows Security Center انجام می شود را مانیتور می کند. وظیفه این Agent این است که اطلاعات مربوط به سلامتی یا Health سیستم را بدست آورده و به محض برقراری ارتباط با سرور NAP در اختیار سرور (Enforcement Server ) قرار دهد .
  • Enforcement Server همانطور که از نامش پیداست این سرور اطلاعات مربوط به policy هایی که توسط سرور NAP اعمال می شود را در اختیار داشته و کلاینت را مجبور به اعمال این policy می کند.
  • System Health Validator که به اختصار SHV هم گفته می شود. System Health Validator اطلاعات مربوط به System Health Agent را از سیستم دریافت کرده و آن را با اطلاعاتی که در Health Policy ایجاد شده توسط سرور NAP وجود دارد مقایسه می کند.
  • Remediation Server سروری است که برای Enforcement Client هایی قابل دسترس است که نتوانسته اند با policy که از جانب NAP اعمال شده است برابری کنند. در واقع Remediation Server دارای تمامی مکانیزمهایی است که توان این را دارند که enforcement client با policy اعمال شده منطبق کنند . برای مثال Remediation Server می تواند بسته های امنیتی مورد نیاز کلاینت را برای اینکه بتواند با policy هماهنگ شود بدست آورده و بر روی Enforcement Client اعمال می کند .
راه اندازی Network Access Protection

NAP چه محدودیت هایی دارد؟

آخرین نکته ای که در خصوص سرویس NAP بایستی توجه کرد این است که این سرویس قطعا باعث بالا رفتن درجه امنیت سازمان شما خواهد شد امامکانیزم های امنیتی که شما تاکنون پیاده سازی کرده اید را نقض نکرده و جای آنها را نمی تواند بگیرد . کار بسیار خوبی که NAP برای ما انجام می دهد این است که مطمئن می شود که Remote Client هایی که به شکبه متصل می شوند با policy اعمال شده از سوی سرور مطابقت داشته باشند .

کار بهتری که انجام می دهد این است که client را به نوعی مجبور می کند که از Policy موجود طبیعت کند و خود را با آن یکسان کند . نکته جالبتر در خصوص NAP این است که بر پایه و اساس استانداردهای باز بنا شده است و منحصر به فرد نیست ، یعنی هر شرکتی که تولید نرم افزار انجام می دهد می تواند یک ماژول برای policy های NAP ارائه دهد تا به هنگام استفاده توسط این سیستم به کلاینت اعمال شود و این به نطر من شاهکار است .

اما نکنه در اینجاست که NAP نمی تواند مهاجمین و نفوذگران را از شبکه شما دور نگه دارد ، این سیستم صرفا پارامترهای امنیتی کلاینت ها را با یک مبنا و اساس مقایسه می کند و مطمئن می شود که این موارد رعایت شده اند ، بنابراین صرفا زمانی می تواند ما را از دسترسی مهاجمین در امان نگه دارد که ماشین مبدا یا همان کلاینت تمامی موارد امنیتی را رعایت کرده باشند. حال فرض کنید این سیستم که قصد اتصال به شبکه شما را دارد کامپیوتر یک هکر است که تمامی موارد امنیتی مورد نیاز برای NAP را رعایت کرده است !! در این حالت هکر براحتی به سیستم متصل شده و به داخل شبکه شما دسترسی پیدا می کند .

در این قسمت شما با سرویس Network Access Policy آشنا شدید و متوجه شدید که این سرویس به ما این امکان را می دهد که از سلامت سیستم هایی که از راه دور به شبکه ما وارد می شوند اطمینان حاص کنیم و آنها را مورد تجزیه و تحلیل قرار دهیم ، با انواع اجزای این سرویس آشنا شدیم و واژه هایی که در مقالات آینده به آنها زیاد برمی خوریم را نیز معرفی کردیم ، اما در قسمت بعدی در خصوص پیاده سازی همین اجزایی که در اینجا معرفی کردیم صحبت خواهیم کرد . در این قسمت زیر ساختارهای شبکه ای که این سرویس برای فعالیت نیاز دارد را در قالب یک سناریو محیط واقعی با هم انجام خواهیم داد.

زیرساختار سرویس Network Access Protection

برای پیاده سازی سرویس NAP بایستی چندین Role را در کنار هم بکار بگیریم ، هر کدام از این Role ها در شبکه نقشی مستقل و بسزا برای فعالیت درست NAP خواهند داشت . همانطور که در تصویر مشاهده می کنید ما از سرویس های Routing and Remote Access ، سرویس Domain Controller و Network Policy سرور در سناریوی خود استفاده می کنیم.

سناریو Network Access Protection
تصویر الف : پیاده سازی ساختار Network Access Protection نیاز به چندین سرور مختلف دارد

همانطور که در تصویر مشاهده می کنید ، ویندوز سون با استفاده از لینک ارتباطی که در اینجا بستر اینترنت است به ویندوز سرور 2008 ای که سرویس RRAS بر روی آن نصب شده است متصل می شود ، این سرور در نقش VPN سروری است که در نقطه بیرونی شبکه قرار گرفته است ، ویندوز سون با این سرور بصورت عادی یک ارتباط VPN را برقرار می کند. زمانی که کلاینت ویندوز سون به سرور RRAS متصل می شود اطلاعات کاربری کاربر از قبیل رمز عبور و نام کاربری از طریق سرویس RRAS برای سرویس RADIUS ارسال می شوند تا احراز هویت در آن انجام شود .

در اینجا RADUS همان Network Policy Server است ، این سرور اطلاعات کاربر و کلاینت را بررسی کرده و سپس در خصوص policy هایی را که بایستی به این کلاینت اعمال شوند تصمیم گیری می کند ، این دیگر وظیفه خود NPS است که تصمیم بگیرد چه policy اعمال شود و در صورت تناقض چه عملی بایستی انجام شود.

در محیط لابراتوار شما می توانید از یک سرور فیزیکی هم به عنوان RRAS استفاده کنید و هم بر روی آن سرویس Network Policy را نصب و راه اندازی کنید . اما در محیط واقعی کار شما نبایستی سرویس NPS را بر روی همان سرور VPN ای نصب کنید که در نقطه بیرونی شبکه قرار دارد و این از لحاظ امنیتی درست نیست .

دامین کنترلر

همانطور که در شکل الف میبینید ، یکی از نقش هایی که در این سناریو مورد نیاز است نقش دامین کنترلر است . البته اینطور تصور نکنید که این یک سرور خالی است بلکه این یک زیرساخت کامل اکتیودایرکتوری است . من مطمئن هستم که شما هم می دانید که مهمترین جزء اکتیودایرکتوری DNS است و اکتیودایرکتوری بدون DNS توان فعالیت را ندارد .پس اگر به این دیاگرام بالا نگاه می کنید فرض کنید که قطعا ما در اینجا یک ساختار DNS و تمامی جزئیات یک ساختار اکتیودایرکتوری را بر روی یک دامین کنترلر موجود داریم .

ما در اینجا سناریوی خود را در یک محیط تست و لابراتواری انجام می دهیم و در صورتیکه در محیط واقعی بخواهیم چنین سناریویی را داشته باشیم قطعا از چندین سرور دامین کنترلر و DNS سرور های تفیکیک شده استفاده خواهیم کرد.

یکی دیگر از Role هایی که در پیاده سازی سناریوی ما نقش اساسی دارد اما در شکل مشاهده نمی شود Enterprise Certificate Authority یا به زبان ساده تر CA است . قطعا در محیط واقعی ما سروری را بصورت اختصاصی برای میزبانی این نقش در شبکه قرار می دهیم اما در سناریوی فعلی ما همان دامین کنترلر در نقش CA نیز ایفای نقش خواهد کرد.

نصب Enterprise Certificate Authority یا ECA

دستورالعمل نصب سرور Enterprise Certificate Authority بسته به نوع سیستم عاملی که بر روی آن کار می کنید متفاوت است ، شما می توانید این نقش را بر روی ویندوز سرور 2003 یا ویندوز سرور 2008 نصب و راه اندازی کنید ، به دلیل اینکه در اینجا سرور دامین کنترلی که قصد استفاده از آن به عنوان CA را داریم از ویندوز سرور 2008 به عنوان سیستم عامل سرور استفاده می کند بنابراین ما نیز از همین سیستم عامل برای توضیح فرآیند نصب و راه اندازی CA استفاده می کنیم .

قبل از اینکه به فرآیند نصب و راه اندازی Certificate Services بپردازیم لازم میدانم که اشاره کنم در یک محیط واقعی شما تمهیدات امنیتی بسیار زیادی برای حفظ امنیت و پایداری CA خود بایستی در نظر بگیرید و تمامی تخمین ها و پیشبینی های لازم را در همان بدو طراحی سیستم در نظر بگیرید . از لحاظ دیگر هیچوقت فراموش نکنید که اگر کسی CA شما را تخریب و یا به آن دسترسی پیدا کند رسما مالک شبکه شما محسوب می شود و شبکه شما هک شده محسوب می شود .

به دلیل اینکه این مقاله در خصوص Network Access Protection نوشته شده است و در خصوص CA مطلب چندانی در آن عنوان نمی شود ما هم انرژی چندانی روی این موضوع نمی گذاریم و در حد نظب و راه اندازی یک CA عادی در شبکه به شما آموزش خواهیم داد 

قطعا در روزهای آتی در خصوص Certificate Services و ساختار PKI در سیستم عامل های مایکروسافت مطالبی در قالب مقاله ارائه خواهم کرد . در دنیای واقعی شما انرژی بسیاری برای طراحی یک CA بایستی قرار بدهید اما در اینجا شما نصب و راه اندازی یک CA آزمایشگاهی را در ادامه خواهید دید.

خوب کار خود را با وارد شدن به ویندوز سرور 2008 و رفتن به قسمت Server Manager و در نهایت قسمت Roles ادامه می دهیم .در قسمت Roles Summary گزینه Add Roles را انتخاب می کنیم . این کار شما را به ویزارد Add Roles خواهد برد . با زدن Next از Welcome Screen عبور کنید و در اینجاست که لیستی از Role های موجود را برای نصب مشاهده خواهید کرد ، همانند تصویر بعدی گزینه Active Directory Certificate Server را انتخاب کنید و بر روی Next کلیک کنید .


نصب Cetificate Authority
  • تصویر ب : ویندوز لیستی از نقش هایی که می تواند بر روی سیستم عامل نصب شود را به شما نمایش می دهد .

در این قسمت شما صفحه ای را مشاهده خواهید کرد که به شما توضیحاتی در خصوص certificate services و مواردی که بایستی به آنها توجه کنید را ارائه خواهد کرد . بر روی Next کلیک کنید تا به صفحه بعدی بروید ، در این صفحه است که شما می توانید Component هایی را که می خواهید نصب شوند را انتخاب کنید . قسمت های Certification Authority و Certificate Authority Web Enrollment را انتخاب کرده و تیک آنها را بزنید .

نصب Cetificate Authority

خوب الان تصویری همانند تصویر ج را مشاهده خواهید کرد ، در این قسمت به شما اعلام می شود که برای اینکه نقش مورد نظر شما به درستی کار کند بایستی یک سری feature یا قابلیت دیگر را نیز فعالی کنید ف از آنجاییکه در اینکه ما نقش Web Enrollment را خواسته ایم بنابراین نقش وب سرور IIS را نیز بایستی نصب کنیم که کاربران بتوانند از طریق وب نیز فعالیت های خود را انجام دهند . بر روی Add Required Role Service کلیک کرده و Next را می زنیم .


نصب Cetificate Authority
  • تصویر ج : نقش Certificate Services Web Enrollment بدون سرویس IIS قادر به ارائه سرویس نیست .

شما الان با صفحه ای مواجه خواهید شد که از شما می پرسد که آیا شما یک enterprise certificate authority می خواهید یا یک standalone certificate authority را می خواهید نصب کنید ؟ گزینه enterprise certificate authority را انتخاب کنید و Next را بزنید . در اینجا از شما سئوال می شود که سرور شما Root CA است یا Subordinate CA است که شما Root CA را انتخاب می کنید . بر روی Next کلیک می کنیم .

نصب Cetificate Authority
نصب Cetificate Authority


در ادامه از شما سئوال خواهد شد که آیا می خواهید یک Private Key جدید ایجاد کنید و یا از یک Private Key موجود استفاده کنید ؟ از آنجایی که شما تاکنون Private Key ای ایجاد نکرده اید بنابراین گزینه Create a New Private Key را انتخاب کنید و باز هم در خاطر داشته باشید که اینها در محیط لابراتوار است و در محیط واقعی تا حدی متفاوت هستند . بر روی Next کلیک کنید .

نصب Cetificate Authority


شما الان بایستی تصویری مشابه تصویر د را مشاهده کنید ، در اینجا از شما در خصوص انتخاب یک cryptographic service provider یا CSP و همچنین انتخاب طول کلید و الگوریتم Hashing مورد نظر شما سئوال خواهد شد . در محیط واقعی بایستی دقیقا به مواردی که در این قسمت مشاهده می کنید دقت کنید ، اما چون ما در اینجا ما در یک سناریوی فرضی از این سرویس استفاده می کنیم این مورد چندان برای ما مهم نیست و پیشفرض ها را انتخاب کرده و Next را می زنیم .



نصب Cetificate Authority
  • شکل د : انتخاب یک الگوریتم درست رمزنگاری در این قسمت در محیط واقعی از اهمیت زیادی برخوردار است .

صفحه بعدی از شما یک نام و یک پسوند ( Distinguished Name and Suffix ) برای انتخاب به عنوان اسم Certificate Server از شما می پرسد ، طبق معمول مقادیر پیشفرض را انتخاب کرده و Next را بزنید .


نصب Cetificate Authority

خوب الان شما صفحه ای را خواهید دید که از شما در خصوص مدت زمان اعتبار certificate ها سئوال می کند . مقدار پیشفرض آن 5 سال است که برای سناریوی ما همین مقدار زمان کفایت می کند ، پس Next را انتخاب کنید . در ادامه صفحه ای را مشاهده می کنید که محل قرار گیری پایگاه داده مربوط به Certificate Server و محل ذخیره سازی لاگ های آنها را نمایش می دهد

در محیط های عملیاتی انتخاب زمان مناسب و محل مناسب برای ذخیره سازی این محتویات بسیار مهم است ضمن اینکه بایستی Fault Tolerance و Redundancy نیز برای آنها منظور شود . اما از آنجایی که ما در محیط لابراتوار هستیم همین مقادیر پیشفرض برای ما کفایت می کند بنابراین بر روی Next کلیک می کنیم .


نصب Cetificate Authority

همانطور که به خاطر دارید برای یکی از Role ها به نام Web Enrollment ما نیاز به نصب IIS داشتیم که در این قسمت به سراغ نصب این سرویس می رویم ، با تمامی گزینه ها موافقت کرده تا IIS با موفقیت نصب شود و به سراغ صفحه بعدی بروید

البته در این صفحه حتما به این مسئله دقت کنید که تمامی نیازمندیهای مربوط به CA در Component های IIS بصورت کامل نصب شود . بعد از چک کردن این موضع بر روی Next کلیک کنید .در انتها با صفحه ای مواجه خواهید شد که جزئیات تمامی مواردی که شما برای نصب انتخاب کرده اید را به شما نمایش می دهد 

بر روی گزینه Install کلیک کنید تا ویندوز تمامی فایل های لازم برای نصب این سرویس ها را بر روی سیستم کپی کرده و عملیات نصب را آغاز کند . در صورتتیکه فرآیند نصب به درستی انجام شود سیستم به شما صفحه ای نمایش خواه داد که در آن از نصب درست سرویس CA خبر می دهد ، بر روی Close کلیک کنید تا فرآیند به درستی انجام شود . صفحه آخر را می توانید در تصویر پایین مشاهده کنید .


نصب Certificate Authority
  • شکل ه : زمانیکه فرآیند نصب به درستی انجام شد بر روی دکمه Close کلیک کنید .

در این قسمت با نصب و راه اندازی مقدماتی سرویس Certificate Authority آشنا شدید. در این قسمت به سراغ راه اندازی و انجام تنظیمات مربوط به سرویس VPN می پردازیم . در مقاله شماره دو به شما نحوه نصب و راه اندازی سرویس Enterprise Certificate Authority را آموزش دادیم و همچنین تا حدی زیرساختار پیاده سازی سرویس Network Access Protection را نیز بررسی کردیم . در این قسمت به شما نحوه راه اندازی سرویس VPN و همچنین چگونگی هماهنگی این سرویس و NAP را آموزش خواهیم داد .

همانطوری که در قسمت قبلی هم عنوان شد به دلیل اینکه ما در یک محیط لابراتوار هستیم ، سرویس Network Policy Server را بر روی همان سروی نصب خواهیم کرد که VPN Server را نصب می کنیم . در محیط واقعی شما بایستی برای هر یک از این سرویس ها یک سرور جداگانه فیزیکی در نظر بگیرید. تنها زمانی این سرویس ها را با هم در یک جا نصب کنید که در محیط لابراتوار یا کلاس درس هستید و شرایط محیطی شما را مجبور به استفاده از این روش می کند.

انجام تنظیمات مقدماتی

قبل از اینکه به شما آموزش دهیم که چگونه تنظیمات مربوط به VPN Server را انجام دهید ، شما بایستی یک سری تنظیمات مقدماتی را انجام دهید ، ویندوز سرور 2008 را نصب کنید و برای آن یک آدرس IP ایستا یا Static قرار دهید . آدرس IP این سرور بایستی با آدرس IP دامین کنترلری که قبلا راه اندازی کرده اید در یک محدوده باشد .

همچنین آدرس DNS سروری که این سرور به آن اشاره می کند بایستی با آدرس دامین کنترلر یکی باشد ، این دامین کنترلر در سناریوی ما در نقش DNS سرور هم فعالیت می کند . بعد از اینکه تمامی این تنظیمات را انجام دادید با استفاده از دستور Ping برقراری ارتباط خود با دامین کنترلر را تست کنید.

عضو کردن به دامین

خوب الان که تنظیمات TCP//IP مربوط به کارت شبکه را انجام دادید و تست ارتباط را نیز انجام دادید ، به سراغ انجام اصلی سرور می رویم. اولین قدم این است که سروری که در اختیار دارید را به دامین کنترلری که از قبل ایجاد کرده اید join کنید . فرآیند عضویت در دامین یا join کردن به دامین بسیار شبیه همان فرآیندی است که در ویندوز سرور 2003 انجام می شود.برای اینکه یک کامپیوتر را به عضویت دامین در ویندوز سرور 2008 در بیاوریم ، ابتدا بایستی از طریق منوی استارت بر روی آیکن My Computer راست کلیک کرده و گزینه Properties را انتخاب کنیم .

در این هنگام برای شما یک پنل باز می شود که بایستی از سمت پایین و راست گزینه Change Settings را انتخاب کنید . یک پنجره باز خواهد شد ، بایستی به تب computer name رفته و بر روی گزینه change کلیک کنید ، در این هنگام در قسمت domain نام دامین مورد نظر خود جهت عضویت را وارد کنید و سپس یک نام کاربری و رمز عبور معتبر را وارد کنید ، چند طظه تحمل کنید 

سیستم به شما پیغام خوش آمد گویی برای ورود به دامین را خواهد داد ، بر روی OK کلیک کنید و پس از اینکه کامپیوتر را restart کردید عملیات عضویت به درستی انجام خواهد شد . اگر دکمه change در حالت غیرفعال بود یه به اصطلاح grayed out شده بود یعنی اینکه سیستم هم اکنون در عضویت دامین می باشد. همانند شکل زیر :


راه اندازی Network Access Protection
شکل الف : پنجره System Properties که بسیار شبیه همان پنجره ای است که در ویندوز سرور 2003 نیز موجود می باشد.

نصب سرویس RRAS

خوب زمان نصب سرویس Routing and Remote Access رسید ، بنا به سناریویی که از قبل طراحی کردیم این سرور به عنوان VPN Server ایفای نقش خواهد کرد . وارد قسمت Server Manager شوید ، shortcut این کنسول را می توانید از قسمت منوی Administrative Tools بیابید . زمانیکه Server Manager باز شد ، از قسمت Roles Summary بر روی Add Roles کلیک کرده و ویزارد Add Roles را باز کنید.زمانیکه صفحه ویزارد باز شد ، با زدین کلید Next از Welcome Screen عبور کنید .

الان در صفحه ای قرار میگیرید که از شما در خصوص Role هایی که بایستی نصب شوند سئوال می کند ، Add Roles را بزنید و چک قسمت Network Policy And Access Server را انتخاب کنید . با زدین کلید Next با صفحه ای مواجه خواهید شد که در خصوص سرویس Network Policy and Access Server و همچنین سرویس های مختلف آن اطلاعاتی را در اختیار شما قرار می دهد .

کلید Next را بزنید و اینجاست که شما بایستی اجزای مورد نیاز از سرویس NPASS را برای نصب بر روی سرور انتخاب کنید ، گزینه های Network Policy Server و Routing and Remote Access Services را همانند شکل زیر انتخاب کنید ، تمامی زیر مجموعه ها را نیز انتخاب کنید. در شکل زیر مواردی که بایستی انتخاب شوند را می توانید مشاهده کنید .


راه اندازی Network Access Protection
شکل ب : از موارد موجود سرویس Network Policy Server و همچنین Routing and Remote Access Services را انتخاب کنید.

وقتیکه سرویس Routing and Remote Access Services را تیک می زنید سرویس های Remote Access و همچنین Routing بصورت خودکار انتخاب خواهند شد . با انتخاب این موارد اجزای لازم برای راه اندازی سرویس VPN فراهم خواهند شد .

با زدن کلید Next شما به صفحه ای هدایت خواهید شد که به شما خلاصه ای از مواردی که بایستی نصب شوند را نمایش می دهد ، اگر در این خلاصه مشکل خاصی را مشاهده نمیکنید با زدن کلید Install فرآیند نصب را شروع کنید . خوب الان می توانید یک قهوه ترک خوب دم کنید و نوش جان کنید ، این فرآیند کمی زمانبر است ، البته بستگی به سخت افزار شما نیز دارد ، بعد از اینکه نصب تمام شد بر روی دکمه Close کلیک کنید.

بعد از اینکه سرویس Routing and Remote Access نصب شد زمان آن فرا می رسد که تنظیمات مربوط به Remote Access برای اینکه درخواست های ارتباط VPN را قبول کند را انجام دهیم .برای انجام اینکار به سراغ Server Manager بروید ، در این کنسول به قسمت Roles و Network Policy and Access Service و در نهایت به قسمت Routing and Remote Access Service وارد شوید .

بر روی Container مربوط به سرویس Routing and Remote Access راست کلیک کرده و گزینه Enable Routing and Remote Access را از منوی باز شده انتخاب کنید . اینکار ویزارد مروبوط به کنسول Routing and Remote Access را برای شما باز خواهد کرد.

بر روی Next کلیک کنید تا Welcome Screen رد شود . شما در اینجا بایستی با کنسولی مواجه شوید که از شما در خصوص تنظیماتی که می خواهید انجام دهید سئوال می کند . همانند شکل ج قسمت( Remote Access ( Dial-up or VPN را انتخاب کنید و Next را بزنید . صفحه نمایش داده شده از شما می پرسد که بین ارتباطات dial-up یا VPN یکی را انتخاب کنید ، گزینه VPN را انتخاب کرده و Next را بزنید .


راه اندازی Network Access Protection
شکل ج : گزینه( Remote Access ( Dial-up or VPN را انتخاب کنید و Next را بزنید.

این ویزارد شما را به صفحه ارتباطات VPN هدایت می کند . خوب در اینجا کارت شبکه ای که از آن client ها برای برقراری ارتباط با VPN سرور استفاده می کنند را انتخاب کنید و چک باکس Enable Security on the Selected Interface by Setting up Static Packet Filters بردارید تا غیر فعال شود . شکل د نمایانگر این موضوع است .


راه اندازی Network Access Protection
  • شکل د : کارت شبکه ای که کاربران برای برقراری ارتباط VPN استفاده می کنند را انتخاب کنید.

بر روی کلید Next کلیک کنید ، در صفحه ای که مشاهده می کنید از شما در خصوص آدرس های IP ای سئوال می شود که به VPN Client ها پس از برقراری ارتباط با VPN Server داده می شود ، در اینجا از شما سئوال می شود که آیا می خواهید آدرس ها بصورت خودکار به کلاینت ها داده شوند و یا اینکه شما یک محدوده آدرس دهی برای کاربران VPN در همینجا تعیین میکنید ؟ به دلیل اینکه شما در این سناریو می خواهید از محدوده آدرس دهی خودتان استفاده کنید گزینه Specified Range Of Addresses را انتخاب کنید و Next را بزنید.

در اینجا از شما در خصوص محدوده آدرس دهی که می خواهید برای VPN Client ها تعیین کنید سئوال می شود . همانند شکل زیر بر روی دکمه new کلیک کرده و آدرس ابتدای محدوده آدرس دهی و همچنین آدرس انتهای محدوده آدرس دهی را وارد کنید . وقتی محدوده را وارد کردید بر روی OK کلیک کرده و Next را بزنید. هم اکنون شما صفحه Managing Multiple Remote Access را مشاهده خواهید کرد .


راه اندازی Network Access Protection
  • شکل ه : شما بایستی یک محدوده آدرس دهی IP برای VPN Client ها را در این قسمت تعیین کنید.

در قسمت بعدی از شما سئوال می شود که آیا شما می خواهید که خود سرویس RRAS درخواست های اتصال را احراز هویت کند یا اینکه درخواست های احراز هویت را به سمت سرور RADIUS هدایت کند ؟ توجه کنید که خود سرویس RRAS توانایی احراز هویت را دارد و مشکلی در این مورد نیست ، اما در سازمان های بزرگ شما چندین سرور RRAS دارید که در آنجا استفاده از چنین گزینه ای چندان جالب نیست و شما برای اینکه مدیریت متمرکزی بر سرویس احراز هویت RRAS های خود داشته باشید از سرویس RADIUS استفاده می کنید.

کار را با انتخاب گزینه Yes و انجام تنظیمات مربوط به برقراری ارتباط با RADIUS سرور ادامه دهید . در این همگام از شما در خصوص آدرس IP سرور RADIUS سئوال خواهد شد ، ما هنوز در این قسمت از سناریوی خود سرویس RADIUS را نصب و راه اندازی نکرده ایم اما بزوری این سرویس را بر روی همین سرور RRAS نصب و راه اندازی خواهیم کرد. باز هم تاکید میکنم که در محیط های واقعی برای سرویس RADIUS بایستی یک سرور جداگانه در نظر گرفته شود .

در سناریوی ما در این مرحله از کار آدرس IP همین سرور VPN را به عنوان RADIUS سرورهای اصلی و ثانوی ( Primary و Secondary ) انتخاب کنید . در اینجا در خصوص یک shared secret یا کلید اشتراکی از شما سئوال خواهد شد ، این کلید در واقع یک رمز برای برقراری ارتباط بین سرور VPN و RADIUS سرور است و مثل یک گذرواژه بین ایندو می باشد .

در این سناریو کلمه rras را به عنوان shared secret در نظر بگیرید . وقتی کار تمام شد بر روی Next و سپس Finish کلیک کنید ، در این لحظه چندین پیام هشدار مشاهده خواهید کرد ، فقط برای همه OK را بزنید و همه آنها را ببندید. ( در این سناریو این پیام ها چندان کاربردی ندارند )

آخرین گزینه برای انجام تنظیمات RRAS انجام تنظیمات مربوط به ساختار احزار هویت یا authentication scheme می باشد . برای انجام این تنظیمات یکبار دیگر کنسول Server Manager را باز کرده و به Container مربوط به Routing and Remote Access رفته و بر روی آن راست کلیک کرده و Properties را انتخاب می کنیم . به قسمت server properties بروید و به تب security وارد شوید ، بر روی دکمه Authentication Methods کلیک کنید . مطمئن شوید که مثل شکل پایین پروتکل های احراز هویت MSCHAPV2 و EAP انتخاب شده اند و سپس OK را بزنید.

راه اندازی Network Access Protection
  • شکل ی : مطمئن شوید که MSCHAPv2 و EAP انتخاب شده اند.

در این قسمت روش نصب و راه اندازی سرویس Routing and Remote Access را برای سرویس دهی در قالب یک VPN سرور آماده کردیم ، در قسمت بعدی از مقاله به شما در خصوص نحوه انجام تنظیمات مربوط به Network Policy Server بیشتر صحبت خواهیم کرد 

همانظور که مشاهده کردید راه اندازی یک VPN Server در ویندوز سرور 2008 چندان هم دشوار نیست و شما کافیست که مراحل را به ترتیب انجام دهید ، در ادامه ایجاد هماهنگی بین این دو سرویس VPN و NPS برای شما حتما جالب خواهد بود.

در این قسمت توضیحات خودمان را در خصوص Network Access Policy ادامه خواهیم داد و به شما آموزش خواهیم داد که چگونه تنظیمات مربوط به Network Policy Server را انجام دهید . در مقاله قبلی در خصوص نحوه انجام تنظیمات مربوط به VPN Server و چگونگی صدور مجوز برای دسترسی VPN Client ها به شبکه داخلی مفصل صحبت کردیم . در این مقاله در خصوص انجام تنظیمات اجزای Network Policy Server صحبت خواهیم کرد.

همانطور که قبلا هم اشاره کردیم وظیفه اصلی Network Policy Server این است که هنگامی که Client ای قصد برقراری اتصال با شبکه داخلی را دارد ، وضعیت سلامت یا Health State مربوط به Client را با Policy که در آن وضعیت ایده آل و مجاز برای برقراری ارتباط با سرور مقرر شده است

مقایسه می کند و در نهایت با توجه به درخواست کاربر به وی اجازه دسترسی به شبکه را می دهد و یا بر خلاف این ، اجازه دسترسی به شبکه را نمی دهد . System Health Policy در واقع به PC کلاینت دستور می دهد که چه شرایطی را برای برقراری ارتباط سالم با شبکه داخلی بایستی داشته باشد و به نوعی معیارهای یک سیستم سالم از نظر شبکه را به کلاینت دیکته می کند.

در محیط کار واقعی منظور از یک سیستم سالم یا بهتر بگوییم از نظر System Health Policy سیستمی سالم تلقی می شود که از سیستم عامل های جدید استفاده کند و همچنین آخرین بروز رسانی ها و بسته های امنیتی را بر روی خود نصب شده داشته باشد.

بهرحال این انتخاب و سیاست شما است که چه سیستمی را سالم و چه سیستمی را ناسالم تشخیص دهید ، اما بایست در هر صورت یک سری فعالیت ها را بر روی سرور انجام دهید. در اینجا برای اینکه مسئله را بهتر درک کنید ما یک system health validator یا SHV بسیار ساده ایجاد می کنیم که در آن صرفا فعال بودن یا عدم فعالیت فایروال سیستم بررسی می شود ، در صورتیکه فایروال روشن و فعال باشد سیستم کلاینت به عنوان سیستم سالم یا healthy در نظر گرفته می شود .

تا به حال 100 بار گفته ایم اما باز هم تاکید می کنیم که نبایستی سرور Network Policy Server را در دنیای واقعی بر روی VPN Server نصب کنید ، VPN Server در واقع نقطه خروج از شبکه و ارتباط با جهان بیرونی و از نظر امنیتی ناایمن است و بر عکس Network Policy Server برای ارتباط با شبکه داخلی و مستقر در شبکه داخلی است و این سرویس نبایستی بر روی VPN Server در دنیای واقعی نصب شود 

انجام اینکار برای شما ریسک امنیتی بالایی را در بر خواهد داشت . اما این را نیز به خاطر داشته باشید که از نظر سیستم عامل ویندوز وجود این دو سرویس بر روی یک سیستم عامل اصلا اشکالی نداشته و می توانند در کنار هم کار کنند و به همین دلیل است که ما در لابراتوار و سناریوی خود ایندو سرویس را بر روی یک سرور نصب می کنیم.

انجام تنظیمات Network Policy Server

برای شروع فرآیند انجام تنظیمات ابتدا به منوی استارت رفته و بر روی Run کلیک کنید و سپس MMC را نوشته و Enter را بزنید ، در اینجا شما یک کنسول MMC خالی خواهید داشت . از طریق منوی File گزینه Add / Remove Snap-in را انتخاب کنید .

از پنجره ای که باز می شود و از لیست موجود گزینه Network Policy Server را انتخاب کنید و سپس دکمه Add را بزنید. در این حالت پنجره ای باز می شود که از شما می پرسد که آیا می خواهید این کامپیوتر را مدیریت کنید یا کامپیوتری دیگر ؟

مطمئن شوید که گزینه Local Computer یا این کامپیوتر انتخاب شده است ، سپس بر روی OK کلیک کنید . OK را یکبار دیگر کلیک کنید تا کنسول Network Policy Server را مشاهده کنید. در اینجا مطابق شکل پایین کنسول را باز کنید و به ترتیب به قسمت NPS ( Local) و Network Access Protection و در نهایت به قسمت System Health Validator مراجعه کنید .

بر روی گزینه System Health Validator راست کلیک کنید و گزینه Properties را از منوی باز شده انتخاب کنید. اینکار به شما کنسول و صفحه تنظیمات Windows Security Health Validator را باز خواهد کرد. صفحه مربوط به این تنظیمات را در تصویرهای بعدی مشاهده می کنید.


راه اندازی سرویس Network Access Protection
  • شکل الف : از قسمت Network Access Protection به قسمت System Health Validator بروید.


راه اندازی سرویس Network Access Protection
  • شکل ب : صفحه مربوط به Properties گزینه Windows Security Health Validator برای انجام تنظیمات system health validator را در شکل زیر مشاهده می کنید .

بر روی دکمه configure کلیک کنید و ویندوز به شما تنظیمات مربوط به Windows Security Health Validator را همانند شکل ج نمایش می دهد . همانطور که در تصویر مشاهده می کنید ، شما می توانید در این تصویر system health validator policy را تعیین کنید . بصورت پیشفرض poliy به گونه ای تنظیم شده است که بایستی کلاینت Windows Firewall خود را فعال ، Windows Update را فعال و همچنین آنتی ویروس و Antispyware خود را بروز بر روی سیستم نصب شده داشته باشد . از آنجاییکه می خواهیم فقط فعال وبدن فایروال در سیستم کلاینت بررسی شود ، تیک قسمت A Firewall is Enabled for all Network Connections را فعال نگه دارید و سایر تیک ها را بردارید ، دو بار OK را بزنید تا تنظیمات اعمال شود .


راه اندازی سرویس Network Access Protection
  • شکل ج : تیک قسمت A Firewall is Enabled for all Network Connection را زده و سایر چک باکس ها را غیرفعال کنید .

ایجاد یک System Health

خوب تا اینجای کار شما تنظیمات مربوط به system health validator یا SHV را انجام دادید و حال نوبت به انجام تنظیمات System Health Policy یا SHP میرسد . System Health Policy ها در واقع نتیجه های System Health Validator ها را تعیین می کنند . این بدین معناست که پس از بررسی هایی که SHV بر روی سیستم کلاینت انجام داد این SHP است که شیوه برخورد با کلاینت را در این لحظه تعیین میکند و برقراری ارتباط یا رد ارتباط را مشخص می کند .

برای ایجاد یک Health Policy بایستی به مسیر Health Polices رفته و بر روی Container مربوط به Health Policy راست کلیک کرده و از منوی مربوطه گزینه New را انتخاب کنیم . با انتخاب این گزینه یک صفحه مشابه تصویر د با عنوان Create New Health Policy برای شما ظاهر خواهد شد .

راه اندازی سرویس Network Access Protection
  • شکل د : شما بایستی یک Health Policy جدید ایجاد کنید

همانطور که در تصویر مشاهده می کنید این صفحه از شما برای Health Policy جدید یک نام می خواهد . نامی متناسب با سناریوی مورد نظر برای آن انتخاب کنید ، در اینجا ما نام itpro-compliant را به عنوان نام این Health Policy در نظر می گیریم . حال مطمئن شوید که جعبه کشویی Client SHV Checks در حالت Client Passes all SHV Checks قرار گرفته است . چک باکس Windows Health Validator را تیک زده و بر روی OK کلیک کنید.

خوب در اینجا ما یک policy ایجاد کردیم که مواردی که برای سیستم قابل قبول است را تعیین می کند . اما ما بایستی یک policy دیگر نیز ایجاد کنیم که برای سیستم تعیین کند که در صورتیکه تنظیمات client موارد مربوط و تعیین شده توسط سرور و policy را احراز نکرد چه برخوردی با کلاینت انجام دهد .

برای انجام اینکار نیز بر روی container مربوط به Health Policies راست کلیک کرده و مجددا گزینه New را از منوی باز شده انتخاب می کنیم . همان تصویری را که در مرحله قبل مشاهده کردید را مجددا خواهید دید. اینبار نام policy را noncompliant بگذارید ، تنظیمات لیست بازشوی Client SHV Checks را در حالت Client Fails one or More SHV Check قرار دهید .

حالا چک باکس Windows Security Health Validator را انتخاب کنید و OK را بزنید . حالا اگر به کنسول اصلی Netwok Policy Server وارد شوید هر دور policy هایی که نام های compaliant و inoncompliant ساخته اید را می توانید مشاهده کنید . تصویر مربوطه را در ادامه می توانید مشاهده کنید .


راه اندازی سرویس Network Access Protection
  • شکل ه : در کنسول اصلی Network Policy Server بایستی هر دور Policy های compliant و non-compliant را مشاهده کنید.

در این قسمت به شما آموزش دادیم که چگونه یک system health validator ایجاد کنید که توسط آن Windows درخواست های کلاینت ها را برای بررسی فعال بودن windows firewall چک کند . در ادامه به شما آموزش دادیم که چگونه یک system health policy ایجاد کنید که توسط آن سیستم شیوه برخورد با کلاینت ها را از جانب سرور و با توجه به policy ایجاد شده بررسی کند . در مقاله بعدی از این سری مقالات برای شما در خصوص نحوه ایجاد health authorization policy صحبت خواهم کرد .

health authorization policy ها در واقع policy هایی هستند که شیوه برخورد با client در زمانیکه رفتار کلاینت با policy تدوین شده هماهنگی نداشته باشید را بیان می کند . این policy ها در واقع سطح دسترسی مجاز کلاینت را مشخص میکنند ، و با توجه به ملاک هایی که این policy تعیین می کند کلاینت می تواند به شبکه دسترسی پیدا کند.

در ادامه در خصوص فرآیند remediation هم توضیحاتی را ارائه خواهیم داد ، در این فرآیند که بصورت مفصل در خصوص آن صحبت خواهید کرد شرایطی برای client ای که شرایط مطلوب اتصال به شبکه را ندارد ، ایجاد می شود که بتواند خود را به سطح مورد اطمینان یا سلامت مورد نیاز برساند تا سیستم به آن اجازه ورود به شبکه را بدهید

در این قسمت به سراغ فرآیند ایجاد و آزمایش authorization policies می پردازیم . در مقاله قبلی شیوه ایجاد و انجام تظیمات system health validator را آموزش دادیم و اشاره کردیم که این سیستم در هنگامی که کلاینت درخواست برقراری ارتباط با سرور را دارد ، بررسی می کند که آیا Windows Firewall کلاینت روشن است یا خیر . در ادامه همان مقاله اشاره کردیم که چگونه با استفاده از system health policies سرور می تواند ملاک سلامت را برای سیستم کلاینت تعیین کند و سیستم سالم و ناسالم را تشخیص دهد.

در این مقاله من توضیحات خودم را با نشان دادن نحوه ایجاد network policy ادامه خواهم داد . network policy ها در واقع policy هایی هستند که شیوه برخورد با سیستم کلاینت را تعریق میکنند ، بدین معنا که اگر سیستم کلاینت شرایط مطلوب اتصال به سیستم را پیدا کرد چه اتفاقی بایستی رخ دهد ، و اگر این شرایط را نتوانست احراز کند چه اتفاقی برای وی خواهد افتاد ؟ در اصل این policy ها هستند که سطح دسترسی به سیستم های شبکه داخلی را تعیین می کنند.

نحوه ایجاد Network Policy ها

در اولین مرحله از ایجاد Network Policy طبق معمول به کنسول Network Policy Server رفته و به Container مربوط به Network Policy وارد می شویم . در همین لحظه نیم نگاهی به قسمت Details هم بیاندازید که شاید Network Policy در حال حاضر ایجاد شده باشد .

در سیستم تستی من دو عدد Network Policy بصورت پیشفرض ایجاد شده است که هر دی نیز بصورت پیشفرض فعال هستند . یکی از این policy ها به نام Connections to Microsoft Routing and Remote Access Server policy و دیگری Connections to Other Access Servers policy نام دارند.

به شما پیشنهاد می کنم که این policy های پیشفرض را غیرفعال کنید ، شما براحتی می توانید با راست کلیک کردن بر روی هر یک از این policy ها و انتخاب گزینه Disabled آنها را غیر فعال کنید. خوب حالا که policy های قبلی را غیرفعال کردید می توانید یک Network Policy جدید ایجاد کنید .

برای اینکار کافیست بر روی container مربوط به Network Policy راست کلیک کرده واز طریق منوی باز شده گزینه New را انتخاب کنید .با اینکار ویزارد New Network Policy باز خواهد شد .اولین کاری که بایستی انجام بدهید این است که به این Policy یک نام اختصاص دهید . بیاید نام این policy را Compliant-Full-Access بگذاریم . د قسمت لیست بازشوی Type of Network Access Server گزینه Unspecified را مطابق شکل پایین انتخاب کنید . و Next را بزنید .


راه اندازی سرویس NAP
  • شکل الف : به policy جدید یک نام اختصاص دهید و سپس Next را بزنید .

در صفحه بعدی در خصوص شرایط یا conditions ای که بایستی برای این policy در نظر گرفت از شما سئوال می شود . شما با کلیک کردن بر روی دکمه Add می توانید قسمت Specify Conditions را که برای تعیین شرایط است ، مشاهده کنید . از طریق Scroll تنظیمات را بار کرده و به دنبال Health Policy Options بگردید و آن را بیابید . Health Policy Options را انتخاب کنید و سپس بر روی Add کلیک کنید . در این قسمت از شما در خصوص Health Policy سئوال خواهد شد که شما قصد اعمال آن را دارید . از لیست باز شو تنظیمات compliant را مطالبق تصویر ب انتخاب کنید .

راه اندازی سرویس NAP
  • شکل ب : از لیست Health Policies قسمت compliant را انتخاب کنید

بر روی OK کلیک کنید تا صفحه Select Conditions بسته شود و سپس Next را بزنید . با اینکار ویندوز به شما صفحه Specify Access Permissions مواجه می شوید . گزینه Grant Access را انتخاب کنید و Next را بزنید . به خاطر داشته باشید که قرار دادن دسترسی در حالت Grant Access به این معنی نیست که کاربر دسترسی کامل برای اتصال به شبکه داده شده است

معنای واقعی اینکار این است که درخواست هایی که از طریق این policy تایید و وارد می شوند اجازه ورود به مراحل بعدی و آینده پردازش ها را خواهند داشت .در اینجا صفحه Configure Authentication Methods را خواهی دید . ای نصفحه به شما پروتکل های مختلف احراز هویتی که می توانید برای این سناریو استفاده کنید را به شما نمایش می دهد ، با انتخاب هر یک از این چک باکس ها پروتکل مورد نظر انتخاب خواهد شد . فعلا در این سناریو به کارتان ادامه دهید و مقادیر پیشفرض را انتخاب کنید و مثل شکل ج بر روی Next کلیک کنید .


راه اندازی سرویس NAP
  • شکل ج : تنظیمات پیشفرض را انتخاب کنید و Next را کلیک کنید

کامپیوترهای عدم انطباق یا Non-Compliant

خوب تا اینجا یک policy برای کامپیوترهایی که مطابق قوانین یا compliant هستند ایجاد کردیم اما در این لحظه بایستی یک policy دیگر برای برخورد با کامپیوترهایی که با قوانین مطابق نیستند یا non-compliant ها ایجاد کنیم که تا حدی با policy ایجاد شده برای compliant ها مشابه است .

برای اینکار بر روی container مرتبط با Network Policies راست کلیک کرده و از طریق منوی باز شده New را انتخاب کنید، یک ویزارد مشابه آنچه در قبل هم انجام دادیم با عنوان New Network Policy نمایش داده خواهد شد . مانند قبل اولین کاری که بایستی انجام شود نامگذاری policy مورد نظر است ، در اینجا نام policy را Noncompliant-Restricted قرار دهید و در قسمت تنظیمات Type of Network Access Server تنظیمات را بر روی Unspecified قرار دهید و سپس Next را بزنید .

خوب الان به صفحه ویزارد تعیین قوانین یا conditions هدایت می شوید .زمانیکه ما policy را برای کامپیوترهای compliant ایجاد کردیم یک قانون یا Condition ایجاد کردیم که در آن به سرور دستور داده بودیم که تمامی درخواست ها را ابتدا با compliant policy که در مقاله قبلی ایجاد کردیم مقایسه کند .

اما از آنجاییکه این policy برای کامپیوترهایی است که non-compliant هستند ، شما بایستی مطمئن شوید که درخواست هایی که به این policy ارجاع داده می شوند از policy به نام non-compliant تبعیت کنند . این یعنی اینکه فعال بودن windows firewall بر روی کلاینت ها بایستی چک شود .

برای اینکار بر روی دکمه Add کلیک کنید . ویندوز به شما صفحه Select Conditions را نمایش خواهد داد ، از این لیست قسمت Health Policies را انتخاب کرده و بر روی Add کلیک کنید . در اینجا policy که از قبل به نام non-compliant ساخته بودید را انتخاب کرده و OK رابزنید و سپس Next را بزنید.

بر روی Next کلیک کنید و صفحه Configure Constraints را مشاهده خواهید کرد . ما در اینجا قصد اعمال هیچگونه محدودیتی را به این policy نداریم و Next را می زنیم . شما الان صفحه ویزارد Configure Settings را مشاهده خواهید کرد ، ای نصفحه به شما تنظیماتی را ارائه می دهد که در صورتیکه کامیپوتر مورد نظر اجازه دسترسی به سیستم را پیدا کرد به آن اعمال شوند .

در نسخه های قبلی از ویندوز سرور 2008 شما بایستی برای اینکه کاربر بتواند به شبکه داخلی دسترسی پیدا کند ، NAP Enforcement را می بایست غیرفعال می کردید ، در نسخه RTM تنظیمات NAP Enforcement برای اینکه برای این مشکل بر نخورند بصورت پیشفرض مجوز دسترسی به شبکه داخلی را داده است.

خوب با دانستن این موضوع بر روی Next کلیک می کنیم ، شما در این صفحه خلاصه ای از تنظیماتی که برای policy مد نظر انجام داده اید را مشاهده خواهید کرد ، اگر فکر می کنید همه چیز را به درستی انجام داده اید کافیست بر روی Finish کلیک کرده تا policy جدید ایجاد شود.

الان ویندوز به شما صفحه ویزارد Specify Access Permission را نمایش می دهد . با اینکه ما می خواهیم یک policy بازدارنده و محدود کننده ایجاد کنیم ، بر خلاف تصور در این قسمت نیز گزینه Grant Access را انتخاب کنید . به یاد نکته ای باشید که قبلا گفتیم ، Grant Access در اینجا به معنای اجازه دسترسی به شبکه نمی باشد

اما به درخواست اجازه خواهد داد که ادامه مراحل فرآیند پردازشی را بتواند ببیند . کلید Next را بزنید و مجددا به صفحه Configure Authentication Methods خواهید رفت ، مشابه قسمت قبلی تنظیمات پیشفرض را در نظر گرفته و Next را کلیک کنید.

شما در اینجا صفحه Configure Constraints را مشاهده خواهید کرد .ما قصد اعمال هیچگونه محدودیتی را فعلا نداریم ، بنابراین فقط Next را می زنیم . شما الان به صفحه Configure Settings هدایت خواهید شد ، تا اینجا هر کاری که برای policy مربوط به compliant ها انجام دادیم برای noncompliant ها نیز انجام دادیم و هیچ تفاوتی این دو policy با یکدیگر نداشتند.

اگر به همین شکل policy ها را رها کنیم کامپیوترهایی که noncompliant هستند هم می توانند به راحتی به شبکه داخلی متصل شوند . با توجه به اینکه ما نمی خواهیم چنین شرایطی پیش بیاید ، در قسمت container مربوط به NAP Enforcement را انتخاب کنید ، چک باکس Enable Auto Remediation of Client Computers را فعال کنید ، تنظیمات را در حالت Enforce قرار دهید و سپس چک باکس Update Non Compliant Computers Automatically را انتخاب کنید و Next را بزنید ، بر روی Finish کلیک کنید تا policy با موفقیت اعمال شود.

در این قسمت در خصوص ایجاد Network Policy ها هم برای کامپیوترهای دارای شرایط مناسب یا Compliant ها و هم برای آنهایی که شرایط اتصال را ندارند یا noncompliant ها صحبت کردیم و آنها را ایجاد کردیم. در این قسمت ما با ایجاد یک default authentication policy انجام دستورالعمل های مربوط به تنظیمات سرور را کامل می کنیم .

در قسمت های قبلی شیوه ایجاد کرده authorization policy را برای هر دو نوع گروه کامپیوترهای compliant و non-compliant آموزش دادیم ، در این مقاله دستورالمل تنظیمات سرور را تکمیل می کنیم ، اولین قدم در این زمینه ایجاد یک network policy است که به ماشین هایی که توسط VPN Server احراز هویت می شوند اعمال شود .

ایجاد کردن یک Network Policy

از طریق کنسول Network Policy Server به قسمت ( NPS ( Local و در نهایت Network Policies بروید . در این قسمت شما بایستی تمامی Network Policy های قبلی را که وجود دارد را مشاهده کنید . مطمئن شوید که policy های Compliant-Full Access و همچنین Non-Compliant-Restricted فعال شده اند و گزینه Connections to Microsoft Routing and Remote Access Server Policy مانند شکل الف غیر فعال شده است .

راه اندازی NAP
  • شکل الف : مطمئن شوید که policy های Compliant-Full Access و Non-compliant –Restricted فعال شده اند

خوب الان زمان ایجاد یک Network Policy است . برای انجام اینکار بر روی Container مربوط به Network Policies راست کلیک کرده و گزینه New را انتخاب می کنیم ، در اینحالت ویندوز برای شما ویزارد New Network Policy را نمایش خواهد داد . اولین قدم برای ایجاد یک Network Policy قرار دادن یک نام برای این policy است .برای این سناریو اسم policy نام RRAS را انتخواب کنید . بعد از اینکه در قسمت Name نام RRAS را وارد کردید از قسمت لیست باز شو Network Access Server قسمت( Remote Access Server ( VPN-Dialup را مطابق شکل زیر انتخاب کنید .

راه اندازی NAP
  • شکل ب : در قسمت Type of Network Access Sever گزینه( Remote Access Server (VPN-Client را انتخاب کنید .

باز زدن کلید Next ویزارد شما را به سمت صفحه Specify Conditions هدایت می کند. برای اینکه بتوانید ویزارد را ادامه دهید حتما بایستی یک Condition را مشخص کنید . در اینجا می خواهیم کاری کنیم که policy به ارتباطات ورودی یا inbound connections نگاه کند .

برای اینکار شما بایستی کاری کنید که policy صرفا به قسمت VPN Connection هایی اعمال شود که با سرور ارتباط برقرار می کنند .برای ایجاد Condition یا شرط کلید Add را انتخاب کنید و در قسمت Select Conditions قسمت Tunnel Type را بیابید .

Tunnel Type را انتخاب کرده و کلید Add را بزنید . در اینجا صفحه ای را مشاده خواهید کرد که نوع ارتباط یا Connection Type را از شما سئوال می کند ، شما در اینجا هر نوع ارتباطی را که می خواهید را می توانید انتخاب کنید اما در سناریو ما پیشنهاد می کنیم که گزینه های Point to Point Tunneling Protocol و Layer Two Tunneling Protocol را مطابق شکل ج انتخاب کنید .


راه اندازی NAP
  • شکل ج : گزینه های PPTP و L2TP را انتخاب کنید .

بر روی OK و سپس بر روی Next کلیک کنید . در این صفحه ویزارد به شما صفحه Specify Access Permissions را نمایش خواهد داد . گزینه Access Granted را انتخاب کنید و سپس گزینه Access is Determined by User Dial In Properties را مطابق شکل د انتخاب کنید .

راه اندازی NAP
  • شکل د : Radio Button مربوط به Access Granted را انخاب کرده و چک قسمت Access is Determined by User Dial In Properties را بزنید.

در صفحه بعدی از شما در خصوص نوع پروتکل EAP که برای احراز هویت بایستی استفاده کنید سئوال می شود .شما هر نوع EAP که بخواهید را می توانید انتخاب کنید اما در این سناریو به شما پیشنهاد می کنیم که از Microsoft Protected EAP و EAP-MSCHAP-V2 انتخاب کنید .

برای انتخاب این نوع از EAP بر روی گزینه Add کلیک کرده و سپس( Microsoft: Protected EAP (PEAP را انتخاب کنید و مجددا OK را بزنید ، سپس دوباره کلید Add را زده و مجددا اینبار گزینه( Microsoft: Secured Password (EAP-MSCHAP-V2 را انتخاب کرده و OK را بزنید .زمانیکه ویزارد به صفحه Configure Authentication Methods بازگشت تیک( Microsoft Encrypted Authentication (MS-CHAP را بردارید . صفحه ای که مشاهده خواهید کرد مشابه تصویر زیر می باشد .


راه اندازی NAP
  • شکل ه : صفحه Configure Authentication Methods شبیه تصویری است که میبینید

بر روی Next کلیک کنید و ویزارد در اینجا به شما صفحه Configure Constraints را نمایش می دهد . همانطور که در شکل بعدی مشاهده می کنید ، این صفحه به شما این امکان را می دهد که تنظیماتی از قبیل session timeout period و محدودیت های زمان و تاریخ و چندین محدویت دیگر را که قصد اعمال آنها بر روی کلاینت ها را دارید ، را انتخاب کنید .

با توجه به پیچیدگی مبحث NAP بهتر است که در این قسمت تغییرات چندانی اعمال نشود و به حالت پیشفرض باقی بماند . به نظر من بهتر است برای شروع ابتدا کاری کنیم که سناریوی ما یا NAP ما ابتدا به درستی کار کند و بد از آن به فکر استفاده از چنین محدودیت هایی بیافتیم .


راه اندازی NAP
  • شکل ی : تا جاییکه امکان دارد از دستکاری این قسمت خودداری کنید .

بر روی Next کلیک کنید و در نهایت Finish را بزنید تا فرآیند ایجاد این Network Policy به درستی تکمیل شود .

تنظیمات policy مربوط به RADIUS Client

در این نوع از پیاده سازی Network Policy Server در نقش RADIUS سرور مشغول به فعالیت می شود . با توجه به اینکه در اینجا RRAS و RADIUS سرور بر روی یک سرور قرار گرفته اند ، در اینجا احراز هویت ها کاملا بایستی توسط RADIUS انجام شود که در اینجا همان سرور VPN است ، اما در این سناریو ما VPN Server را به عنوان RADIUS Client معرفی میکنیم زیرا خود به تنهایی عمل احراز هویت را انجام نمی دهد .

آخرین قدمی که می بایست در انجام تنظیمات سرور انجام بدهیم این است که به Network Policy Server لیست RADIUS Client هایی که بایستی احراز هویت کند را معرفی کنیم . در اینجا با توجه به اینکه تنها یک RADIUS سرور داریم و آن هم بر روی VPN Serverقرار دارد به راحتی آدرس IP سرور VPN را به عنوان RADIUS Client معرفی میکنیم . با هم تاکید میکنم که در اینجا سناریو در محیط لابراتوار است و این دو سرور در یک سرور قرار گرفته اند و در محیط واقعی بایستی هر کدام سروری جداگانه داشته باشند .

برای انجام تنظیمات مربوط به RADIUS Client ابتدا بایستی به کنسول Network Policy Server و سپس( NPS ( Local و RADIUS Client and Services و در نهایت RADIUS Clients بروید. حال بر روی Container مربوط به RADIUS Client راست کلیک کرده و از منوی مربوطه گزینه New RADIUS Clients را انتخاب کنید . این کار باعث باز شدن صفحه New RADIUS Client می شود.اولین چیزی که در این صفحه از شما سئوال خواهد شد یک نام و یک آدرس IP مربوط به RADIUS Client جدید است .

در یک محیط واقعی شما معمولا به جای نام کلمه RRAS و به جای آدرس IP نیز آدرس های IP مربوط به سرور های RRAS خود را وارد می کنید .اما همانطور که میدانید ما در محیط لابراتوار هستیم و در اینجا RRAS ما و RADIUS Server ما بر روی یک سیستم نصب شده اند بنابراین در اینجا به جای آدرس IP مربوطه ، آدرس IP مربوط به VPN Server را وارد می کنیم .

قسمت بعدی که مشاهده می کنید به نام Vendor Name است ، خودم هم واقعا نمی دانم که دقیقا این قسمت چه کاربردی دارد اما هر چیزی که هست به حالب پیشفرض آن را قرار دهید . اما در صفحه بعدی شما استاندارد های پیاده سازی RADIUS را مشاهده خواهید کرد ، در این قسمت گزینه RADIUS Client Options را انتخاب کرده و ادامه می دهیم.

گزینه بعدی که از شما سئوال خواهد شد Shared Secret یا رمز عبوری است که بایستی برای برقراری ارتباط بین RADIUS Client و RADIUS Server مورد استفاده قرار بگیرد . بهترین راهی که شما می توانید این کلید را تولید کنید استفاده از گزینه Generate است که برای شما بصورت تصادفی کلیدی را تولید خواهد کرد که می توانید از آن استفاده کنید . اگر خودتان کلیدی انتخاب میکنید قوانین مرتبط با انتخاب رمز عبور را برای این کلید نیز استفاده کنید .

به دلیل اینکه در محیط لابراتوار هستیم به شما پیشنهاد می کنم که یک کلید یا Shared Secret آسان را انتخاب کنید و ادامه دهید . البته برای اینکار منطقی هم وجود دارد ، اول اینکه همه ویندوز های هنوز رمزهای عبور طولانی را بصورت کامل پشتیبانی نمی کنند ، دوم اینکه تاپپ مجدد یک کلید تصادفی که ترکیبی از عدد و حروف و علامت و سایر چیزهاست کار چندان آسانی هم نیست ، اما باز هم این کاملا به خودتان بستگی دارد .

در این سناریو و با توجه به قانون اینکه تا جایی که می توانید عملیات خود را ساده نگه دارید ما گزینه Manual را انتخاب کرده و کلمه RRAS را به عنوان Shared Secret در نظر می گیریم . بعد از اینکه NAP به درستی راه اندازی شد شما می توانید بعدا این کلید را تعویض کرده و گزینه بهتری را برای آن در نظر بگیرید .آخرین کاری که بایستی انجام بدهید این است که گزینه RADIUS Client is NAP Capable را انخاب کنید . صفحه New RADIUS Client بایستی مشابه آنچه که در شکل پایین مشاهده می کنید نمایان شود. بر روی OK کلیک کنید تا عملیات انجام تنظیمات بطور کامل پایان یابد.


راه اندازی NAP
  • شکل خ : کلید رمز یا Shared Server را وارد کرده و چک باکس Client is NAP Capable را انتخاب کنید.

در این قسمت ما تنظیمات مربوط به Network Policy Server را تکمیل کردیم . در قسمت هفتم از این سری مقالات تنظیمات مربوط به قسمت Client را انجام خواهید داد ، تا ایجای کار همه چیزهایی را که گفته شده است امیدواریم به درستی در محیط لابراتوار تکمیل کرده باشید.

در این قسمت انجام تنظیمات و راه اندازی سرویس Network Access Protection شما را با شیوه تست کردن و همچنین درخواست کردن یک Computer Certificate مرتبط با VPN Server آشنا می کنیم . در مقالات قبلی تا حدود زیادی با Network Policy Server کار کردید ، در حقیقت تا حد زیادی تا اینجا تنظیمات ما به پایان رسیده است .

کلاینت ویندوز سون الان می تواند توسط VPN Server و همچنین پروتکل احراز هویت (Protected EAP ( PEAP احراز هویت شود . قبل از اینکه بتوانیم از پروتکل PEAP استفاده کنیم ما بایستی Computer Certificate خود را با VPN Server هماهنگ کنیم . خوب تا این مرحله یاد گرفتیم که چگونه یک Enterprise Certificate Authority را برای اینکار ایجاد کنیم . در این مقاله نحوه درخواست Certificate و هماهنگ کردن آن با VPN Server را آموزش می بینیم.

درخواست یک Certificate

در این سناریو ما از پروتکل PEAP به عنوان پروتکل احراز هویت سمت سرور استفاده می کنیم . برای اینکه این مکانیزم به درستی کار کند بایستی برای VPN Server از طریق Certificate Authority که قبلا ایجاد کردیم درخواست یک Certificate کنیم .

برای انجام اینکار در قسمت RUN سیستم عامل دستور MMC را وارد کنید . زمانیکه کنسول Microsoft Management Console باز شد از طریق منوی اول گزینه Add //Remove Snap-in را انتخاب کنید و از لیست باز شده گزینه Certificates را انتخاب کنید و گزینه Add را زده و سپس دکمه Finish را می زنیم.

کنسول به شما Snap-in مربوط به Certificate Templates را نمایش خواهد داد .container مربوط به Certificate Templates را بازکنید ( اینکار ممکن است کمی طول بکشد ) ، در قسمت Details صفحه Computer Template را بیابید . بر روی Computer Template راست کلیک کرده و گزینه Duplicate Template را از منوی باز شده انتخاب کنید .

ویندوز در اینجا از شما سئوال می کند که آیا یک Certificate برای ویندوز سرور 2003 می خواهید یا برای ویندوز سرور 2008 ، گزینه Windows Server 2008 را انتخاب کنید و سپس OK را بزنید . در این لحظه ویندوز به شما Properties مربوط به صفحه New Template را نمایش می دهد.

اولین چیزی که شما بایستی در اینجا وارد کنید قرار دادن یک نام برای این Template است . نامش را هر چیزی که می خواهید می توانید قرار دهید ، این امری کاملا سلیقه ای است ، با توجه به هدفی که ما در این سناریو پیگیری می کنیم نام این Template را VPN می گذاریم . در اینجا مدت زمان اعتبار یا validity period را برای Template تعیین کنید و گزینه های Publish Certificate in Active Directory و همچنین Allow Private key to be Exported را انتخاب کنید .

حال به تب Request Handling و مطمئن شوید که قسمت Purpose به حالت Signature and Encryption در آمده است. شما همچنین بایستی تیک مربوط به Add Read Permissions to Network Service را نیز انتخاب کنید و در نهایت به تب Security بروید و دکمه Add را بزنید ، زمانی که ویندوز به شما صفحه Select Users, Computers, or Groups را نمایش می دهد مطمئن شوید که در قسمت From this Location نام دامین شما قرار داشته باشد .

در قسمت Enter the Object Names to Select نام Administrators را وارد کنید و بر روی Check Names کلیک کنید تا ویندوز از درستی نام گروه و موجودیت آن در دامین اطمینان حاصل کند و سپس OK را بزنید . در نهایت گزینه Allow Full Control را برای گروه Administrators انتخاب کنید و OK را بزنید.

حال کنسول Certificate Templates را بسته و از قسمت منوی Administrative Tools گزینه Certificate Authority را انتخاب کنید . با اینکار کنسول Certificate Authority برای شما باز خواهد شد ، در این لحظه Container ای که نام سرور شما بر روی آن قرار دارد را باز کرده و Certificate Template ای که ساخته اید را در اینجا بایستی مشاهده کنید.

بر روی container مربوط به Certificate Template راست کلیک کنید ، سپس از منوی باز شده گزینه New | Certificate Template Issue را انتخاب کنید . با اینکار ویندوز به شما صفحه Enable Certificate Templates را نمایش می دهد . از لیست باز شده به دنبال Template ای بگردید که قبلا خود ایجاد کرده اید ، آنرا انتخاب کرده و OK را بزنید .

شما الان قادر هستید ه certificate template مربوطه را با سرور ارتباط دهید . برای انجام اینکار از طریق Run دستور MMC را وارد کنید . زمانی که کنسول Microsoft Management Console باز شد از طریق منوی File گزینه Add / Remove Snap-in را انتخاب کرده و از لیست Snap-in های موجود Certificates را انتخاب کنید و دکمه Add را بزنید.

در اینجا ویندوز از شما سئوال می کند که آیا این certificate را برای یک user ، یک Computer و یا یک Service می خواهید ؟ در اینجا مهم است که توجه کنید که گزینه Computer حتما انتخاب شود . گزینه Next و در ادامه Finish و OK را بزنید و در اینجاست که ویندوز به شما کنسول Certificates را نمایش خواهد داد .

مرحله قبلی از این فرآیندی که در پیش گرفته ایم شامل باز کردن Container مربوط به ( Certificates ( Local Computer و مشاهده محتویات آن بود ، در اینجا بر روی Container به نام Personal راست کلیک کرده و از قسمت All Tasks گزینه Request New Certificate را از منوی باز شده انتخاب می کنیم ، با اینکار ویندوز به شما صفحه ویزارد Certificate Enrollment را نمایش خواهد داد .

در اینجا ابتدا Next را انتخاب کنید که صفحه Welcome Screen رد شود و بعد از آن شما صفحه ای را مشاهده خواهید کرد که در آن انواع Template هایی که برای Enroll شدن موجود هستند را مشاهده خواهید کرد . چک باکس مربوط به Template ای که خودتان ایجاد کرده اید را انتخاب کنید و دکمه Enroll را بزنید . فرآیند Enrollment ممکن است چند دقیقه ای طول بکشد ، زمانیکه این فرآیند تمام شده بر روی دکمه Finish کلیک کنید ، شما الان می توانید کنسول Certificates را ببندید.

خوب الان ما برای سرور خود یک certificate داریم ، حال نوبت به آن می رسد که تنظیمات مربوط به connection request policy مربوط به آن را برای استفاده از certificate انجام دهیم . برای انجام اینکار کنسول Network Policy Server را باز کنید و به قسمت NPS ( Local ) Policies و قسمت Connection Request Policies بروید .

در اینجا شما لیستی از connection request policy هایی که وجود دارند را مشاهده خواهید کرد ، شما در اینجا یک policy با اسم NAP VPN یا چیزی مشابه را که قبلا در همین سری مقالات ایجاد کرده ایم را بایستی مشاهده کنید .بر روی policy با اسم NAP VPN راست کلیک کرده و Properties را انتخاب کنید

با اینکار تنظیمات مربوط به NAP VPN نمایش داده خواهد شد ، به تب Settings بروید و بر روی قسمت Authentication Method کلیک کنید . مانند شکل زیر شما بایستی در قسمت EAP Types گزینه( Microsoft: Protected EAP (PEAP را مشاهده کنید .اگر این گزینه را مشاهده نمی کنید از دکمه Add برای اضافه کردن آن استفاده کنید .


راه اندازی Network Access Protection
  • شکل الف : گزینه Microsoft Protected EAP بایستی در لیست EAP Types موجود باشد.

حال بر روی قسمت( Microsoft Protected EAP (PEAP کلیک کرده و دکمه Edit را انتخاب کنید . مطمئن شوید که certificate ای که قبلا انتخاب کرده اید در اینجا وجود دارد . همچنین بایستی مطمئن شوید که گزینه های Enable Fast Reconnects و Enable Quarantine انتخاب شده اند. فیلد EAP Types در قسمت پایین تصویر بایستی به حالت ( Secure Password ( EAP MSCHAP V2 درآمده باشد .اگر اینطور نیست با استفاده از دکمه Add اینکار را انجام دهید . پس از اتمام آنقدر OK بزنید که تمامی مراحل کامل شود ..

در این قسمت در خصوص چگونگی درخواست یک Certificate از نوع Computer Certificate از CA و سرویس Enrollment صحبت کردیم و در ادامه چگونگی مرتبط کردن آن با VPN Server را نیز به شما آموزش دادیم .در قسمت بعدی از این سری آموزشی در خصوص تنظیمات پیشرفته تری از این موراد و همچنین جزئیات بیشتری از این تنظیمات را به شما آموزش خواهیم داد .

در این قسمت به شما برخی از تنظیماتی که شما بایستی در ساختار Group Policy برای اینکه کامپیوترهای Client های بتوانند با سرویس Network Policy Server ارتباط برقرار کنند را یاد می گیرید . در مقاله قبلی در خصوص نحوه درخواست یک Computer Certificate و همچنین مرتبط کردن آن با VPN Server صحبت کردیم و بصورت کامل آن را پیاده سازی کردیم . در این مقاله بیشتر توجه خود را به سمت Client هایی می گذاریم که قصد برقراری ارتباط با VPN Server را دارند .

Client ها بایستی از سیستم عامل های ویندوز ویستا یا ویندوز XP با سرویس پک 3 و یا ویندوز سون و بالاتر از آن استفاده کنند و همچنین عضو دامین شبکه ما نیز باشند . اگر بخواهیم فنی تر بحث کنیم Client های ما بایستی قابلیت تبدیل شدن به Enforcement Client را که در مقاله یک از این سری توضیحات مربوط به آن را دادیم را داشته باشند . ما می توانیم این قابلیت و سرویس را توسط Group Policy در شبکه فعال کنیم که در این مقاله هدف اصلی پیاده سازی این موارد است.

ایجاد یک Security Group

هدف از ایجاد و انجام تنظیمات Network Access Protection مربوط به Group Policy این است که شما ممکن است نخواهید سرویس NAP را برای کلیه افرادی که در شبکه سازمان قرار دارند فعال کنید . برای مثال سرورهایی که شما در سازمان دارید ممکن است هیچوقت با استفاده از سرویس VPN به شبکه متصل نشوند و بنابراین پیاده سازی NAP برای آنها کاری بیهوده است .

خوب برای اینکه ما بتوانیم بین کامپیوترهایی که بایستی از سرویس NAP استفاده کنند یا به اصطلاح Network Access Protection Client باشند و آنهایی که قرار نیست جزو این Client های باشند تفاوت قائل شویم یک Security Group در ساختار اکتیودایرکتوری ایجاد می کنیم و تنظیمات Group Policy مربوطه را به این گروه اختصاص می دهیم .

برای ایجاد Security Group مورد نظر وارد کنسول Active Directory Users and Computers بشوید ، زمانیکه کنسول باز شد بر روی دامین خودتان راست کلید کنید و از منوی باز شده گزینه New و سپس Group را انتخاب کنید .با اینکار ویندوز به شما صفحه ایجاد گروه جدید را نمایش خواهد داد . به عنوان اسم گروه NAP Client را انتخاب کنید ، مطمئن شوید که گروه از نوع Global و همچنین از نوع Security انتخاب شده باشد ، بر روی OK کلیک کنید تا گروه مورد نظرتان ایجاد شود .

نصب GPMC یا Group Policy Management Console

مرحله بعدی از کار نصب GPMC یا Group Policy Management Console است که به وسیله آن بتوانیم تنظیمات مربوط به GPO ها را انجام دهیم ، البته معمول این سرویس از قبل بر روی ویندوز سرور نصب شده است اما محض اطمینان مراحل بعد را ادامه دهید .

برای نصب این ابزار یا بهتر بگوییم این امکان مدیریتی ، ایتدا وارد کنسول Server Manager می شویم و در قسمت features گزینه add Features را انتخاب می کنیم در اینجا صفحه را مشاهده خواهید کرد که سرویس های بسیاری را که قابلیت نصب بر روی سرور شما را دارند را مشاده خواهید کرد ، چک باکس مربوط به Group Policy Management Console را انتخاب کنید و سپس Next را بزنید و سپس Install را انتخاب کنید ، زمانیکه فرآیند نصب تمام شد ویزارد مربوط را بسته و Server Manager را نیز ببندید.

انجام تظیمات Group Policy

خوب حالا که Security Group مورد نظر را ساخته و همچنین GPMC را نصب کرده ایم نوبت به انجام تنظیمات ضروری مربوط به group policy می رسد . کار را با وارد کردن دستور GPMC.MSC در قسمت Run شروع کنید . با اینکار کنسول GPMC باز شده و به شما تمامی GPO هایی که در ساختار دامین شما قرار دارد را نمایش می دهد . خوب ما برای این سناریو ابتدا یک GPO جدید ایجاد کرده و تنظیمات آن را ویرایش کرده و آن را به قسمت مربوطه لینک می کنیم .

البته شما می توانید از همین GPO های موجود استفاده کرده و آنها را ویرایش کنید اما ترجیحا با سناریو پیش بروید. برای ایجاد یک GPO جدید شما می توانید بر روی نام دامین خود راست کلیک کرده و گزینه یا دکمه Create New Group Policy Object را انتخاب کنید ، با اینکار ابتدا از شما درخواست یک اسم برای این GPO می شود که شما می توانید نام آن را NAP Client بگذارید و سپس OK را کلیک کنید تا GPO مورد نظر ایجاد شود .با اینکار کنسول Group Policy Management Editor باز خواهد شد ، در اینجا شما بایستی ابتدا به مسیر زیر بروید :

Computer | Configuration | Policies | Windows Settings | Security Settings | System Services

در اینجا بر روی سرویس Network Access Protection Agent دابل کلیک کرده و از قسمت Define This Policy Settings این سرویس را در حالت Automatic Startup و همچنین Enable در بیاورید و بر روی OK کلیک کنید .پس از انجام اینکار به مسیر زیر در همان تنظیمان بروید :

Computer Configuration | Policies | Windows Settings | Security Settings | Network Access Protection | NAP Client Configuration | Enforcement Clients

در این قسمت سیستم به شما انواع مختلف Enforcement Client های موجود را نمایش خواهد داد . بر روی Remote Access Quarantine Enforcement Client راست کلیک کرده و از منوی باز شده گزینه Enable را انتخاب کنید . حالا به قسمت Container مربوط به NAP Client Configuration وارد شوید و بر روی آن راست کلیک کرده و سپس Apply را انتخاب کنید . سپس به مسیر زیر بروید :

Computer Configuration | Policies | Administrative Templates | Windows Components | Security Center

در اینجا بر روی container مربوط به Turn on Security Center (Domain PCs Only) دابل کلیک کرده و به قسمت Properties آن وارد شوید ، بر روی Enable کلیک کرده و OK را انتخاب کنید . با اینکار شما مطمئن شده اید که Security Center برای تمامی کلاینت های شما فعال شده است .

همانطور که قبلا هم اشاره شد اساس کار سرویس NAP و شناسایی وضعیت سلامتی سیستم بر اساس تنظیمات همین Security Center خود سیستم است ، بنابراین فعال بودن این سرویس است که به ما اجازه شناسایی این موارد تست سلامت را خواهد داد.

برای مثال در مراحل قبلی همین سرویس به ما فعال یا غیر فعال بودن فایروال سیستم را گزارش می داد. برای اتمام کار ابتدا بر روی OK کلیک کرده و سپس از Group Policy Management Editor خارج شوید . برخی اوقات ممکن است از شما درخواستی شود که آیا می خواهید تنظیمات مربوطه به سیستم GPO اعمال شد یا خیر ، اگر چنین پیغامی را مشاهده کردید با آن موافقت کنید و apply the changes را انتخاب کنید.

انجام تنظیمات Security Filters

مرحله بعدی از کار ایجاد یک Security Filter است که از اعمال شدن تنظیمات Network Access Protection بر روی سرورهای ما جلوگیری کند. برای اعمال این Filter ها وارد کنسول Group Policy Management Console شوید و از کنسول به قسمت زیر بروید :

Domain | your domain | Group Policy Objects | NAP Client Settings

اگر به این صفحه دقت کنید قسمتی را در پایین تصویر به نام Security Filtering را مشاهده خواهید کرد . بصورت پیشفرض policy به گروه authenticated users اعمال می شد .ما بایستی اینجا را به گونه ای تغییر بدهیم که صرفا افرادی که می خواهیم توسط سرویس NAP کنترل شوند در معرض تنظیمات آن قرار بگیرند .

بر روی گروه authenticated users کلیک کرده و دکمه Remove را بزنید تا گروه مورد نظر از این قسمت حذف شود . به محض سئوال ویندوز در خصوص حذف دکمه OK را انتخاب کنید . حال بر روی دکمه Add کلیک کنید و از طریق جستجو یا وارد کردن نام گروه همان گروهی که به نام NAP Clients در همین مقاله ساخته بودیم را انتخاب کنید و سپس OK را بزنید .

در حال حاضر کلیه تنظیمان مربوط به Group Policy مرتبط با NAP را انجام داده ایم . در قسمت بعدی و در واقع آخرین قسمت از این سری مقالات به شما آموزش عضو کردن کامپیوترهای کلاینت ها به گروهی که ساخته ایم را آموزش خواهیم داد و همچنین یک سری تست های ساده نیز با استفاده از دستورات خط فرمان انجام خواهیم داد که به شما اعمال شدن درست تنظیمات group policy را که به درستی اعمال شده اند را نمایش می دهند . در نهایت کل سناریو و فرآیندی که تا کنون در تمامی این سری مقالات در خصوص NAP انجام داده ایم را آزمایش خواهیم کرد ، امیدوار که مورد توجه شما دوستان قرار گرفته باشد

در این قسمت به بررسی تنظیمات نهایی این سرویس را انجام داده و فعالیت آن را به شما نشان خواهیم داد . در قسمت قبلی از این سری به شما آموزش دادیم که چگونه یک security group ایجاد کنید که بتواند با سرویس Network Access Protection فعالیت کند .در این قسمت در نهایت به شما آموزش می دهیم که چگونه یک computer را به عضویت این گروه در آورده و اعمال شدن و از فعال بودن Remote Access Quarantine Enforcement اطمینان حاصل کنیم . و در آخرین مرحله نیز به شما آموزش می دهیم که چگونه به Remote Access VPN متصل شوید .

اضافه کردن کامپیوترها به گروه

قدم بعدی ما در این مرحله اضافه کردن کامپیوترهای مد نظر به گروهی است که در مقاله قبلی در خصوص آن صحبت کرده و آن را ایجاد کردیم . فرآیند را با باز کردن کنسول Active Directory Users and Computers ادامه داده و به container ای می رویم که نام دامین ما را در آن مشاهده می کنیم . خوب دلیل اینکار نیز مشخص است ، ما گروه مورد نظر خود را در این قسمت ایجاد کرده ایم . خوب در اینجا شما بایستی گروه مورد نظر خود را که ساخته اید را مشاهده کنید ، بر روی گروه مورد نظر خود راست کلیک کرده ( نام گروه NAP Clients می باشد ) ، و گزینه Properties را انتخاب کرده و به تب Members بروید . در اینجا از دکمه Add برای اضافه کردن کامپیوترها استفاده کنید ، نام کامپیوتر مد نظر خود را انتخاب کرده و سپس OK را انتخاب کنید تا این کامپیوتر به عضویت این گروه در بیابد.

آزمایش تنظیمات Group Policy

خوب حالا که کامپیوتر مورد نظر را به عضویت گروه NAP Clients در آوردید بایستی مطمئن شوید که تنظیمات Group Policy مربوطه به این کامپیوتر اعمال شده است ، اما قبل از اینکه بلافاصله اینکار را انجام دهید ، کامپیوتر کلاینت را یکبار restart کنید و با یک کاربر استاندارد وارد سیستم شوید . پس از اینکه سیستم بالا آمد و شما نیز وارد شدید ، وارد محیط command prompt شوید و دستور زیر را وارد کنید :

NETSH NAP CLIENT SHOW GROUPPOLICY

پس از وارد کردن دستور شما بایستی تصویری مشابه آنچه در زیر می بینید را در صفحه command prompt مشاهده کنید :


آموزش راه اندازی NAP
  • شکل الف : در command prompt دستور NETSH NAP CLIENT SHOW GROUPPOLICY را وارد کنید.

همانطوری که در تصویر مشاهده می کنید ، چندین نوع مختلف از Enforcement Client ها در ویندوز تعبیه شده است . این به این خاطر است که روش های مختلفی برای پیاده سازی ساختار NAP وجود دارد . به دلیل اینکه ما در این سناریو NAP را برای سیستم های سرور VNP نیاز داریم تنها گزینه ای که شما نیاز دارید Remote Access Quarantine Enforcement Client می باشد . همانطور که در شکل بالا مشاهده می کنید ، مطمئن شوید که خط Admin بصورت Enable درآمده است. سایر تنظیمات مربوط به Enforcement Client ها بایستی در حالت Disabled قرار بگیرند . برای مرحله بعدی دستورات زیر را در خط فرمان اجرا کنید :

NETSH NAP CLIENT SHOW STATE

همانطور که در تصویر ب مشاهده می کنید ، نتیجه این دستور یک مقدار طولانی است ، با استفاده از Scroll تصویر را پایین بیاورید تا به قسمت Remote Access Quarantine Client برسید. مطمئن شوید که Remote Access Quarantine Client به درستی برقرار شده است .


آموزش راه اندازی NAP
  • شکل ب : مطمئن شوید که Remote Access Quarantine Enforcement Client به درستی برقرار شده است .

اگر هر دوی این تست ها به درستی انجام شدند ، بنابراین تمامی تنظیماتی که در Group Policy که برای NAP انجام داده بودید به درستی کار کرده اند و اعمال شده اند . خوب در اینصورت از محیط Command Prompt خارج شوید ، در صورت مشاهده مشکل مجددا تنظیمات GPO را تست کنید که درست اعمال شده باشد .

ایجاد یک کانکشن VPN

آخرین و در نهایت مرحله کار ما شامل ایجاد یک VPN Connection به سرور VPN است . فرآیند انجام این عملیات بسیار ساده است ، در ویندوز سون کافیست به Control Panel بروید و بر روی Network And Sharing Center کلیک کنید ، زمانی که این کنسول باز شد ، بر روی لینک Setup a Connection or Network کلیک کنید و در نهایت شما تصویری مشابه آنچه در پایین مشاهده می کنید را خواهید دید که در خصوص نوع connection ای که می خواهید بسازید از شما سئوال می کند .


آموزش راه اندازی NAP
  • شکل ج : قسمت Connect To a workplace را انتخاب کنید و Next را بزنید .

گزینه Connect To a Workspace را انتخاب کرده و Next را بزنید . اگر تاکنون شما بر روی سیستم خود یک Network Connection ایجاد کرده اید ویندوز در خصوص اینکه یک کانکشن جدید ایجاد کنم یا اینکه از کانکشن فعلی استفاده کنم از شما سئوال خواهد کرد . گزینه Create a New Connection را انتخاب کرده و Next را بزنید. تصویری که در پایین مشاهده میکنید از شما سئوال می کند که آیا میخواهید از همین ارتباط اینترنت استفاده کنید یا اینکه می خواهید یک ارتباط مستقیم یا direct dial ایجاد کنید .

گزینه Use My Internet Connection (VPN) را انتخاب کنید .الان از شما در خصوص آدرس IP مقصد و همچنین نام کانکشن سئوال می شود . در اینجا آدرس IP مربوط به سرور RRAS یا URL مربوط به آنرا وارد کنید و در قسمت Destination Name هم توضیحات مربوط به کانکشن را بنویسید . تمامی این مراحل را می توانید در تصویر زیر مشاهده کنید . فراموش نکنید که در آخر گزینه Don’t Connect Now را انتخاب کنید .


آموزش راه اندازی NAP
  • تصویر د : آدرس IP سرور RRAS را وارد کرده و توضیحات مربوط به Connection را نیز وارد کنید .

با ادامه دادن و زدن کلید Next شما به صفحه ای هدایت خواهید شد که از شما در خصوص پارامترهای احراز هویت یا authentication credentials سئوال خواهد کرد . در اینجا شما می توانید نام کاربری و رمز عبور معتبر بر روی سرور RRAS را برای برقراری ارتباط وارد کنید .وقتی این موارد تمام شد بر روی دکمه Create کلیک کنید و به همین سادگی connection شما ایجاد خواهد شد . Close را انتخاب کنید تا سایر پنجره ها نیز بسته شوند .خوب حالا که VPN Connection خود را ساختید نوبت به انجام یک سری تنظیمات امنیتی می رسد .

برای انجام اینکار بر روی Connection خود راست کلیک کرده و Properties را انتخاب کنید. پس از باز شدن Properties به تب Security بروید و گزینه Advanced را انتخاب کنید ، سپس گزینه Settings را انتخاب کنید .در اینجا ویندوز مطابق تصویر زیر به شما تنظیمات پیشرفته امنیتی را نمایش خواهد داد ، از قسمت Data Encryption گزینه Require Encryption ( Disconnect if Server Declines) را انتخاب کنید و سپس گزینه( Use Extensible Authentication Protocol ( PEAP را انتخاب کنید و همچنین( Protected EAP ( PEAP را از قسمت Logon Security انتخاب کنید .

در اینجا شما بایستی بر روی Properties کلیک کنید ، بعد از این ویندوز به شما صفحه تنظیمات Protected EAP یا PEAP را مطابق شکل زیر نمایش خواهد داد. مطمئن شوید که تیک Validate Server Certificate and the Connect to these انتخاب شده است . همچنین شما بایستی مطمئن شوید که در قسمت Connect to These Servers نام سرور به درستی وارد شده است و در این لیست نام سرور شما قرار دارد.


آموزش راه اندازی NAP
  • شکل ه : شما بایستی تنظیمات امنیتی را بر روی PEAP قرار دهید .
آموزش راه اندازی NAP
  • شکل ک : شیوه احراز هویت بایستی به شکل EAP-MSCHAP V2 قرار گرفته باشد .

قسمت وسطی این کادر به شما لیستی از Certificate Authority ها موجود را نمایش میدهد . برای سادگی کار همه تیک های موجود بر روی آنها را انتخاب کنید . در قسمت Select Authentication Method که در پایین کادر قرار دارد ، چک قسمت های) Secure Password ( EAP-MSCHAPv2 و همچنین گزینه Enable Quarantine Checks را انتخاب کنید . قسمت بعدی تنظیمات کلیک کردن بر روی دکمه Configure است ، سپس گزینه Automatically Use My Windows Logon Name and Password (and Domain if Any را انتخاب کنید و OK را بزنید ، اینقدر OK بزنید تا مراحل کار تمام شود.

تست کردم NAP

خوب در نهایت به مرحله ای رسیدیم که بایستی سرویس NAP را تست کنیم ، همانطور که می دانید و به شما گفته شده است ، کامپیوتر کلاینت برای اینکه به عنوان یک سیستم سلامت یا Healthy در نظر گرفته شود بایستی یک سری بروزرسانی ها و تنظیمات را بر روی خود داشته باشد

اما ما برای سادگی کار و تست سریع موضوع صرفا تست روشن بودن Firewall ویندوز را به عنوان پارامتر اصلی سلامتی سیستم در نظر گرفته ایم . خوب برای تست کار خودمان وارد Windows Security Center کلاینت شده و Windows Firewall را به حالت Off قرار دهید .با اینکار شما فایروال ویندوز را غیرفعال کرده و این وضعیت را به خوبی میتوانید با قرمز شدن وضعیت فایروال در Windows Security Center به شکل زیر مشاهده کنید .

آموزش راه اندازی NAP
  • شکل گ : مطمئن شوید که فایروال ویندوز Off شده است .

حالا وارد Control Panel شده و بر روی آیکن Network and Sharing Center کلیک کنید ، زمانی که کنسول Network and Sharing Center باز شد بر روی لینک Connect To a Network کلیک کنید ، سپس بر روی VPN Connection ای که قبلا ساخته اید کلیک کنید و دکمه Connect را بزنید . زمانی که از شما درخواست نام کاربری و رمز عبور شد آنها را وارد کنید و دکمه Connect را بزنید ، همانطور که شما به شبکه متصل می شوید به صفحه Security Center ویندوز دقت کنید ، پس از اتصال به سرور Windows Firewall شما مطالبق شکل زیر بایستی فعال شود .


Network Access Protection
شکل ل : NAP بایستی بصورت خودکار فایروال ویندوز شما را فعال کند.

نتیجه گیری

همانطور که در این سری از مطالب مشاهده کردید انجام تنظیمات سرویس Network Access Protection تا حدی گیج کننده و سخت است ، اما نتیجه کار در امنیت سازمان شما بسیار مفید خواهد بود ، این آخرین مقاله از سری مقالات NAP بود و امیدوارم مورد توجه شما دوستان قرار گرفته باشد ، بدیهی است هیچ مقاله ای بدون ایران نیست ، خوشحال می شویم که شما نیز ما را در جریان تجربیات خود در خصوص پیاده سازی این سرویس آگاه کنید ، به امید اینکه بتوانیم مقالات بیشتری را در وب سایت به اشتراک بگذاریم.


محمد نصیری
محمد نصیری

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات

هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، بیش از 12 هزار ساعت سابقه تدریس در بیش از 40 سازمان دولتی ، خصوصی و نظامی ، علاقه مند به یادگیری بیشتر و عاشق محیط زیست ، عضو کوچکی از مجموعه توسینسو

12 آبان 1391 این مطلب را ارسال کرده

نظرات