Cấu hình Network Access Protection (NAP) trên Windows Server 2012 - Phần 2: Kết hợp NAP với VPN

ed – Nhấn Next
Bỏ tất cả các dấu check qui định các phương pháp chứng thực – Chọn Perform machine health check only – Nhấn Next
Nhấn Next
Chọn NAP Enforment – Bỏ dấu check Enable auto-remediation of client computers – Nhấn Next
Nhấn Finish
Kiểm tra 2 Network Policy đã được tạo
d- Tạo Connection Request Policy
Chọn Policies – Connection Request Policies – Xóa tất cả các Policy có sẵn
Chọn Policies – Connection Request Policies – New
Trong khung Policy Name: Đặt tên tùy ý (tôi đặt là VPN Connections)
Trong khung Type of network access server: Chọn Remote Access Server (VPN – Dial up)
Nhấn Next
Nhấn nút Add
Chọn Tunnel Type – Nhấn Add
Đánh dấu chọn các protocol Layer Two Tunelling Protocol (L2TP), Point-to-Point Tunelling Protocol (PPTP) và Secure Socket Tunelling Protocol (SSTP) – Nhấn OK
Nhấn Next
Nhấn Next
Đánh dấu check Override network policy authentication settings để cấu hình các phương pháp chứng thực và bỏ qua các qui định về phương pháp chứng thực đã qui định ở Network Policy – NhấnAdd
Chọn phương pháp chứng thực Microsoft: Protected EAP (PEAP) – Nhấn OK
Nhấn nút Add
Chọn phương pháp chứng thực Microsoft: Secure password (EAP-MSCHAP v2) – Nhấn OK
Cấu hình phương pháp chứng chực PEAP hỗ trợ dịch vụ NAP. Chọn Microsoft: Protected EAP (PEAP) – Nhấn Edit…
Đánh dấu check Enforce Network Access Protection – Nhấn OK
Nhấn Next
Nhấn Next
Nhấn Finish
Kiểm tra Connection Request Policy đã được tạo
6- Cấu hình VPN Client to Gateway
Trên máy VPNSERVER, mở Routing and Remote Access
Kiểm tra trạng thái server đang disable, nếu bạn đã cấu hình trước thì disable dịch vụ
Nếu thấy xuất hiện hộp thoại Getting Started Wizard như hình bên dưới thì bạn đóng lại
Bấm chuột phải tên server (VPNSERVER) -  Configure and Enable Routing and Remote Access
Nhấn Next
Chọn Custom configuration – Nhấn Next
Đánh dấu check VPN access – Nhấn Next
Nhấn Finish
Hệ thống thông báo sẽ tự động tạo một Connection Request Policy mới trong NPS. Nhấn OK, tôi sẽ xóa policy này sau
Nhấn Start service
Bấm chuột phải tên server (VPNSERVER) – Properties
Sang Tab IPv4. Chọn phương pháp cấp IP ảo là Static address pool – Nhấn Add
Nhập dãy IP 172.16.0.100 – 172.16.0.110 – Nhấn OK
Nhấn OK
Mở Network Access Policy – Chọn Policies – Connection Request Policies – Refresh
Quan sát hệ thống tự tạo ra một Connection Request Policies như thông báo trước đó, bạn cần xóa Policy này đi.
Nhấn OK
7- Cấu hình NAP Client
Đối với các máy tính Client, để tương thích với dịch vụ NAP cũng cần thực hiện 2 thao tác cấu hình bao gồm Enable policy EAP Quarantine Enforcement Client và start service Network Access Protection Agent. Đối với các Client trong domain, bạn có thể thực hiện 2 thao tác này bằng cách cấu hình GPO (Xem phần 5 của bài viết này). Ngoài ra bạn cũng có thể cấu hình ngay trên client. trong bài LAB này tôi sẽ cấu hình trên máy Client.
Sang máy CLIENT1. Chọn Run – Nhập NAPCLCFG.MSC – OK
Chọn Enforcement Clients – Bấm chuột phải EAP Quarantine Enforcement Client – Chọn Enable
Kiểm tra policy đã được enable
Cập nhật policy bằng lệnh GPUPDATE /FORCE
Tiếp theo bạn cần start service Network Access Protection Agent. Chọn Run – Nhập SERVICES.MSC – OK
Bấm chuột phải service Network Access Protection Agent – Properties
Mục Startup type: Chọn Automatic
Nhấn nút Start – Nhấn OK
Kiểm tra hoạt động và trạng thái của service Network Access Protection Agent
8- Cấu hình Trust CA Server trên NAP Client
Các máy CLIENT muốn kết nối VPN và kiểm tra tiêu chuẩn bảo mật bằng dịch vụ NAP cần phải Trust CA Server (CA Server có tên trong danh sách Trusted Roor Certification Authority)
Trên máy DC2012, khảo sát tên CA đã đặt ở bước 2. Mở Certification Authority
Kiểm tra tên CA đã đặt là mcthub-CA
Sang máy CLIENT1 – Chọn Run – Nhập CERTMGR.MSC
Chọn Trusted Roor Certification Authority – Personal. Kiểm tra tên CA Server không có trong danh sách này. Nếu có thì bạn có thể bỏ qua bước tiếp theo
Cấu hình Trust CA Server
Để trust CA bạn cần download Certificate của CA để import vào danh sách Trusted Root Certification Authotiry.
Sang máy VPNSERVER, mở IE truy cập URL  Chọn Download a CA certificate, certificate chain, or CRL
Chọn Download CA certificate
Nhấn Save
Nhấn Open Folder
Kiểm tra Certificate của CA Server đã download là file có tên CERTNEW.CER
Trên thực tế các máy CLIENT sẽ copy Certificate của CA thông qua USB hoặc đã được trust CA từ trong hệ thống mạng nội bộ. Trong môi trường LAB, tôi sẽ copy Certificate của CA thông qua việc truy cập trực tiếp.
Trên máy CLIENT, truy cập vào ổ C: của máy VPNSERVER
Cung cấp user name và password của domain Administrator
Mở thư mục Users – Administrator.MCTHUB – Downloads. Copy file CERTNEW.CER
Paste vào thư mục gốc đĩa C:\
Kiểm tra đã copy được Certificate của CA Server
Tiếp theo bạn cần import Certificate của CA Server vào danh sách Trusted Root CA. Mở Certificate Control bằng lệnh CERTMGR.MSC
Chọn Trusted Root Certification Authotiry – Certificates – All Tasks – Import
Nhấn Next
Nhấn Browse
Chọn file CERTNEW.CER – Nhấn Open
Nhấn Next
Nhấn Next
Nhấn Finish
Nhấn Yes
Nhấn OK
Kiểm tra máy CLIENT1 đã trust CA Server mcthub-CA
9- Tạo VPN Connection
Trên máy CLIENT1, để kết nối VPN và tương tho1ch với dịch vụ NAP, bạn cần tạo 1 VPN Connection và điều chỉnh một số thông số cần thiết. Mở Control Panel bằng lệnh CONTROL
Chọn Network and Internet
Chọn Network and Sharing Center
Chọn Setup a new connection or network
Chọn Connect to a workplace
Chọn Use my Internet connection (VPN)
Chọn I’ll setup an Internet connection later
Trong khung Internet address: Nhập IP External của VPN Server (máy RTR) là 10.10.0.1
Trong khung Destination name: Nhập tên tùy ý cho connection (tôi nhập là MCTHUB Connection)
Đánh dấu check Remember my credential
Nhấn Create
Tiếp theo bạn cần điều chỉnh một số thông số cho VPN Connection để tương thích với dịch vụ NAP. Mở Network Connection bằng lệnh NCPA.CPL
Chọn Connection MCTHUB Connection vừa tạo – Properties
Sang tab Secutiry – Trong khung Authentication: Chọn Use Extensible Authentication Protocol (EAP) – Chọn Microsoft: Protected EAP (PEAP) (encryption enabled) – Nhấn Properties
Đánh và bỏ các dấu check như hình bên dưới – Nhấn OK
Nhấn OK
10- Kiểm tra hoạt động của VPN và NAP
Trên máy CLIENT1, bật Windows Firewall để bảo đảm tiêu chuẩn của dịch vụ NAP
Kết nối VPN – Bấm phải chuột MCTHUB Connection – Chọn Connect / Disconnect
Chọn MCTHUB Connection – Nhấn Connect
Nhập Username và Password của Administrator – Nhấn OK
Nhấn Connect
Kiểm tra kết nối được khởi tạo thành công (trạng thái là Connected)
Mở Network Connection kiểm tra
Dùng lệnh IPCONFIG /ALL kiểm tra trạng thái là Not Restricted (truy cập không giới hạn)
Lần lượt PING 2 máy DC2012 (172.16.0.10) và SVR1 (172.16.0.21) đều cho kết quả Reply …
Tắt Windows Firewall
Quan sát VPN Connection sẽ tự động ngắt kết nối do client không thỏa mãn điều kiện của dich vụ NAP
Chủ động thực hiện kết nối lại
Chọn MCTHUB Connection – Nhấn Connect
Kiểm tra kết quả kết nối thất bại – Nhấn Close
11- Cấu hình giới hạn truy cập và kiểm tra
Tiếp theo tôi sẽ cấu hình giới hạn truy cập đối với các VPN Client không thỏa mãn điều kiện, cụ thể là nếu VPN Client không thỏa mãn điều kiện thì vẫn cho phép kết nối hệ thống VPN nhưng chỉ có thể truy cập giới hạn vào hệ thống mạng (chỉ liên lạc được với máy DC2012 – 172.16.0.10 nhưng không liên lạc được với các máy tính khác trong mạng).  Sang máy VPNSERVER, mở Network Policy Server. Chọn Policies – Network Policies – Chọn policy Non-Compliance Clients – Deny Access – Chọn Properties
Tab Overview – Trong khung Policy Name: Đổi tên Policy thành Non-Compliance Clients – Restricted Access – Chọn Grant access
Tab Settings – Chọn NAP Enforcement – Chọn Allow limited access
Chọn IP Filters – Trong khung IPv4 – Nhấn nút Input Filters
Nhấn New
Đánh dấu check Destination network
Trong khung IP Address: Nhập 172.16.0.10
Trong khung Subnet mask: Nhập 255.255.255.255
Nhấn OK
Chọn Permit only the packets listed below (chỉ chấp nhận các gói tin đến địa chỉ đã qui định) – Nhấn OK
Trong khung IPv4 – Nhấn nút Output Filters
Nhấn New
Đánh dấu check Source network
Trong khung IP Address: Nhập 172.16.0.10
Trong khung Subnet mask: Nhập 255.255.255.255
Nhấn OK
Chọn Permit only the packets listed below (chỉ chấp nhận các gói tin từ địa chỉ đã qui định) – Nhấn OK
Nhấn OK
Sang máy CLIENT1, tắt Windows Firewall
Kết nối VPN. Chọn MCTHUB Connection – Connect/Disconnect
Chọn MCTHUB Connection – Connect
Kiểm tra kết nối vẫn thành công mặc dù CLIENT1 đã tắt Windows Firewall
Dùng lệnh IPCONFIG /ALL kiểm tra trạng thái là Restricted (truy cập bị giới hạn)
Lần lượt Ping 2 máy DC2012 (172.16.0.10) và SVR1 (172.16.0.21), quan sát chỉ ping được máy DC2012
Bật Windows Firewall
Dùng lệnh IPCONFIG /ALL kiểm tra trạng thái là Not Restricted (truy cập không giới hạn)
Lần lượt Ping 2 máy DC2012 (172.16.0.10) và SVR1 (172.16.0.21), quan sát tất cả các lệnh Ping đều thành công
Ngắt kết nối VPN
Chọn MCTHUB Connection – Nhấn Disconnect
12- Cấu hình tự động điều chỉnh và kiểm tra
Tiếp theo tôi sẽ cấu hình tự động điều chỉnh đối với các VPN Client không thỏa mãn điều kiện. Sang máy VPNSERVER, mở Network Policy Server. Chọn Policies – Network Policies – Chọn policyNon-Compliance Clients – Restricted Access – Chọn Properties
Sang Tab Settings – Chọn NAP Enforcement – Đánh dấu check Enable auto-remediation of client computers – Nhấn OK
Sang máy CLIENT1, kiểm tra đang tắt Windows Firewall
Kết nối VPN: Chọn MCTHUB Connection – Connect/Disconnect
Chọn MCTHUB Connection – Connect
Kiểm tra kết quả kết nối thành công
Kiểm tra Windows Firewall sẽ tự động bật – Chọn Turn Windows Firewall on or off để chủ động tắt Windows Firewall
Tắt Windows Firewall
Quan sát Windows Firewall lại tự động bật
Dùng lệnh IPCONFIG /ALL kiểm tra trạng thái là Not Restricted (truy cập không giới hạn)
Lần lượt PING 2 máy DC2012 (172.16.0.10) và SVR1 (172.16.0.21) đều cho kết quả Reply …