Самоучитель системного администратора. 5-е изд

Безопасность 
447 
Политику удаленного доступа следует создавать при помощи мастера создания по-
литик, указывая вариант Ethernet и вводя на запрос о группах Windows названия 
групп, которым предоставлено право доступа. 
В результате служба IAS будет проверять членство компьютера или пользователя
в соответствующей группе. Если проверка выполнится успешно, то коммутатор 
получит соответствующее разрешение на открытие порта. 
Настройка автоматического назначения VLAN для порта коммутатора 
Многие коммутаторы имеют возможность назначить порт в той или иной VLAN
в соответствии с данными аутентификации. Для этого данные от службы IAS 
должны возвращать соответствующие параметры. Покажем, как это сделать. 
После создания политики удаленного доступа откройте ее свойства и нажмите кла-
вишу редактирования профиля. Выберите вкладку 
Дополнительно
(рис. 9.5) и до-
бавьте следующие три атрибута: 
Tunnel-Medium-Type
со значением 
802 (includes all 802 media plus Ethernet 
canonical format)
; 
Tunnel-Pvt-Group-ID
со значением номера VLAN, в которую должен быть
помещен порт в случае удачной аутентификации (на рисунке выбрана VLAN 
с номером 20); 
Tunnel-Type 
со значением 
Virtual LANs
. 
Рис. 9.5. 
Настройка атрибутов, используемых для автоматического назначения
порта коммутатора в VLAN 

448 
Глава 9 
При получении запроса служба последовательно проверит соответствие его данных 
имеющимся политикам удаленного доступа и возвратит первое удачное совпадение 
или отказ. 
Настройка клиентского компьютера 
Для использования протокола 802.1
х
при подключении к локальной сети на ком-
пьютере должна быть запущена служба 
Беспроводная настройка
. Только в этом 
случае в свойствах сетевого подключения появится третья вкладка, определяющая 
настройки протокола 802.1
х.
По умолчанию настройки предполагают использова-
ние для аутентификации именно сертификатов, так что никаких изменений данных 
параметров не требуется. 
С
ОВЕТ
Проще всего настроить эту службу на режим автоматического запуска с использова-
нием групповой политики. Для этого следует открыть меню 
Конфигурация компью-
тера | Конфигурация Windows | Параметры безопасности | Системные службы 
и 
указать для службы 
Беспроводная настройка
вариант автоматического запуска. 
На следующем шаге необходимо проверить наличие сертификата, на основании 
которого предполагается осуществить открытие порта коммутатора. Для этого 
нужно открыть консоль управления сертификатами, обратив внимание на выбор 
правильного контейнера для просмотра. Так, если предполагается аутентифициро-
вать компьютер, следует просматривать контейнер 
Локальный компьютер
. 
Настройка коммутатора 
Настройки коммутаторов у разных вендоров различаются. Приведем в качестве 
примера вариант настройки коммутатора Cisco. 
В этом примере использованы настройки по умолчанию для портов службы 
RADIUS, не включены параметры повторной аутентификации и некоторые другие. 
Кроме того, в качестве гостевой VLAN (в нее будет помещен порт, если устройство 
не поддерживает протокол 802.1
х
) определена VLAN с номером 200, а в случае
неудачной аутентификации устройство будет работать в VLAN с номером 201. 
Сначала в конфигурации коммутатора создается новая модель аутентификации, 
указывающая на использование службы RADIUS: 
aaa new-model 
aaa authentication login default group radius 
aaa authentication dot1x default group radius 
aaa authorization network default group radius 
Затем включается режим использования протокола 802.1
x
и определяются парамет-
ры RADIUS-сервера: 
dot1x system-auth-control 
radius-server host key 
хххххххххххх 
После чего для каждого интерфейса настраивается использование протокола 
802.1
x
. В качестве примера выбран порт номер 11: 

Безопасность 
449 
interface GigabitEthernet0/11 
switchport mode access 
dot1x port-control auto 
dot1x guest-vlan 200 
dot1x auth-fail vlan 201 
Этих настроек достаточно, чтобы использовать на коммутаторе аутентификацию по 
протоколу 802.1
х
. 
Технология NAP 
Описанная ранее технология подключения по протоколу 802.1
x
подразумевает про-
верку только сертификата компьютера (или пользователя). Понятно, что этого
мало, и ей на смену пришла технология NAP (Network Access Protection). 
П
РИМЕЧАНИЕ
Название Network Access Protection используется корпорацией Microsoft, продукты 
других фирм могут носить иное имя, — например, Network Access Control для продук-
тов Symantec Endpoint Protection. 
Эта технология поддерживается серверами Windows Server 2008/2012/2016, а в ка-
честве клиентов могут выступать даже машины с Windows XP, но с установлен-
ным SP3. 
Технология NAP предусматривает ограничение использования ненадежными сис-
темами следующих сетевых служб: 
служб IPsec (Internet Protocol security protected communication); 
подключений с использованием протокола 802.1
x
; 
создания VPN-подключений; 
получения конфигурации от DHCP-сервера. 
Идея очень проста — клиент, который хочет получить один из упомянутых здесь 
сервисов, должен предоставить о себе определенные данные. Существует возмож-
ность и проверки параметров, определенных центром безопасности сервера: нали-
чия антивирусной программы, обновлений, настроек брандмауэра и т. п. Все эти 
данные предоставляются программой-агентом, которая запущена на клиентском 
компьютере. Если компьютер проходит проверку (его настройки соответствуют 
параметрам, заданным администратором), он получает сертификат, дающий право 
на использование запрашиваемых услуг. Если проверка не пройдена, все зависит от 
выбранных администратором настроек: или будет проведено обновление до нужно-
го уровня безопасности, или будут наложены определенные ограничения в работе. 
Подробно о внедрении NAP рассказано на сайте Microsoft: 
https://technet.microsoft.com/ru-ru/network/bb545879
. 

450 

жүктеу/скачать 20,51 Mb.

Достарыңызбен бөлісу: