Aula 11 infraestrutura - 17032012
Click here to load reader
-
Upload
thiago-inacio-de-matos -
Category
Documents
-
view
230 -
download
1
Transcript of Aula 11 infraestrutura - 17032012
Windows Server 2008 Network Infrastructure, Configuring - Aula 11- 10/03/2012
Autor: Thiago Inácio de Matos
Contato: [email protected]
Agente de retransmissão (DHCP Relay)
Protocolo vinculado ao RRAS, que permite a capacidade de encaminhamento de pacotes DHCP
REQUEST em sub-redes distintas. Com este protocolo, temos a capacidade de trabalhar com um
único DCHP em múltiplas sub-redes corporativas.
Layout
LAB
DC
DHCP
RRAS
CLIENT1
CLIENT2
1. Criar uma placa de rede do tipo interna no Hyper-V para a configuração do RRAS;
2. Ingressar os clientes no domínio para verificar as configurações de roteamento;
3. Configurar o DHCP
Windows Server 2008 Network Infrastructure, Configuring - Aula 11- 10/03/2012
Autor: Thiago Inácio de Matos
Contato: [email protected]
Configurando o Agente de retransmissão (DCHP Relay)
Para adicionar o DHCP Relay é necessário seguir os seguintes passos:
No servidor do RRAS
1. Expandir a árvore IPv4;
2. Geral;
3. Botão direito > Novo Protocolo de roteamento (no RRAS o DHCP Relay é visto como um
protocolo)
4. Agente de retransmissão DHCP.
Para configurar o Agente de retransmissão é necessário seguir esses passos, ainda no servidor do
RRAS
Interface de escuta
1. Selecione o item do agente de retransmissão;
2. Botão direito > nova interface;
3. Selecione a interface de escuta (é a interface que fará a requisição através do roteador);
Apontado para o servidor do DHCP
1. Selecione o item do agente de retransmissão;
2. Propriedades;
Windows Server 2008 Network Infrastructure, Configuring - Aula 11- 10/03/2012
Autor: Thiago Inácio de Matos
Contato: [email protected]
3. Adicione o endereço IP do servidor do DHCP.
NAP – Network Access Protection
Componente introduzido com o Windows server 2008, que possui a capacidade de avaliação do
estado de “saúde “do computador, a partir deste estado de “saúde”, indicamos que a mesma terá a
capacidade de obter determinados recursos da rede.
Trabalha com os clientes:
• Windows XP SP3 (Download Adicional);
• Windows Vista;
• Windows 7;
Permite deslocamento dos clientes para área de quarentena.
Atual capacidade de avaliação:
• Firewall;
• Atualizações Automáticas;
• Antivírus
• AntiSpam
Tecnologias integradas ao NAP:
• VPN;
• DHCP;
• IPSec;
• 802.1X
NAP+DHCP
NAP+DHCPimg1
Preparando o servidor de NPS
1. Instalar a função do Serviço de acesso e diretiva de rede;
2. Servidor de diretiva de rede;
No console do NPS autorizar o registro do NPS no AD e adicionar o cliente RADIUS
Clientes e servidores RADIUS > Clientes RADIUS > Adicionar o cliente RADIUS; você só irá
adicionar o cliente caso ele esteja em um equipamento diferente do servidor do NPS(RADIUS)
Definir os elementos de integridade que irão ser validados para definição do estado de “saúde” da
máquina.
Proteção de acesso à rede (lado esquerdo) > Validadores de Integridade do sistema > validador de
integridade de segurança > configurações > botão direito novo.
Windows Server 2008 Network Infrastructure, Configuring - Aula 11- 10/03/2012
Autor: Thiago Inácio de Matos
Contato: [email protected]
Após configurado o SHV, definir as diretivas de integridade que irão ilustrar os retornos do
validadores
Diretivas (expande) > diretivas de integridade > botão direito novo
Criar diretivas de rede posicionadas de acordo com a diretiva de integridade, é a diretiva de rede
quem determina se o cliente terá acesso ou não de acordo com os dados passados pela diretiva de
integridade
Diretiva de rede > botão direito novo > Tipo de servidor de acesso à rede > adicionar > selecionar a
diretiva criada. > especificar a permissão > em caso de DHCP desmarcar todas as opções pois essas
são relacionas da VPN e marcar a última opção > algumas configurações extras > Imposição de
NAP escolher a opção que atende à demanda
Criar a diretiva de solicitação de conexão que indicará condições adicionais para o acesso do
cliente. E para o funcionamento é obrigatório.
Para minimizar problemas o ideal é reiniciar o serviço do NPS
Configuração do servidor DHCP
Associar o NAP ao DHCP e aplicar o ID NAP ao escopo (caso necessário).
Botão direito em IPv4 > Propriedades > guia proteção de acesso à rede (e habilitar ou não para
todos os escopos)
Windows Server 2008 Network Infrastructure, Configuring - Aula 11- 10/03/2012
Autor: Thiago Inácio de Matos
Contato: [email protected]
Configuração das maquinas cliente
O NAP existe três itens de configuração esteja ativados no cliente:
1. Habilitar o serviço de proteção de acesso à rede;
2. Habilitar a central de segurança;
3. Habilitar o agente de quarentena DHCP
Essas configurações podem ser realizadas via GPO
(Habilitar todas elas)
gpmc.msc > Configurações do computador > Configurações do Windows > Configurações de
segurança > Serviços do sistema > Agente de proteção de Acesso à rede
gpmc.msc > Configurações do computador > Modelos administrativos > componentes do
Windows > central de segurança > ativar a central de segurança > proteção de acesso à rede >
gpmc.msc > Configurações do computador > Configurações do Windows > Configurações de
segurança > configuração de cliente NAP > clientes de imposição > cliente de imposição de
quarentena DHCP
IPC:
Windows Server 2008 Network Infrastructure, Configuring - Aula 11- 10/03/2012
Autor: Thiago Inácio de Matos
Contato: [email protected]
• Ao autorizar o servidor do NPS no AD ele cria o grupo de servidores RAS e IAS para que
seja possível a autenticação, caso o servidor do NPS seja mudado você deve adicionar esse
novo servido ao grupo supra citado;
• Os clientes RADIUS são os servidores/serviços que irão encaminhar solicitações para o
servidor RADIUS;
• É possível aplicar o NAP em camadas, como por exemplo range IP da seguinte forma:
◦ Nas configurações da diretiva > Diretiva de rede > botão direito novo > Tipo de servidor
de acesso à rede > adicionar > classe de serviço MS > escolher o ID da rede
◦ No servidor de DHCP é necessário escolher o escopo a ser tratado pelo NAP com o
seguinte passo:
▪ Botão direito no escopo desejado > guia de Proteção de acesso à rede > habilitar o
escopo e marcar a opção de Usar perfil personalizado inserindo o ID escolhido nas
configurações do NAP
• Estado de quarentena é quando o NAP dá acesso somente a os servidores que são capazes de
solucionar o problema, como por exemplo atualização do antivírus e wsus.
• Para colocar o equipamento para ficar em quarentena basta em Imposição de NAP marcar a
opção Permitir acesso limitado
IPSec (Internet Protocolo Security)
Definição recente do protocolo IP que agrega segurança e criptografia aos pacotes transmitidos.
• A ideia do IPSec é garantir a criptografia em camada 3 nas transmissões da infra;
• O IPSec não é da Microsoft, e sim uma implementação de mercado;
• Em ambientes Microsoft, é implantado a partir das GPO's.
Possibilidades de implantação:
• VPN (L2TP);
• Rede local.
Mecanismos de autenticação
• Kerberos V.5;
• Chave pré-compartilhada;
• Certificado.