آموزش راه اندازی Network Access Protection - قسمت دوم

تاریخ:۱۳۹۴/۰۱/۰۸

 

زیرساختار سرویس Network Access Protection


برای پیاده سازی سرویس NAP بایستی چندین Role را در کنار هم بکار بگیریم ، هر کدام از این Role ها در شبکه نقشی مستقل و بسزا برای فعالیت درست NAP خواهند داشت . همانطور که در تصویر مشاهده می کنید

ما از سرویس های Routing and Remote Access ، سرویس Domain Controller و Network Policy سرور در سناریوی خود استفاده می کنیم. 
 

سناریو Network Access Protection

 

تصویر الف : پیاده سازی ساختار Network Access Protection نیاز به چندین سرور مختلف دارد


همانطور که در تصویر مشاهده می کنید ، ویندوز سون با استفاده از لینک ارتباطی که در اینجا بستر اینترنت است به ویندوز سرور 2008 ای که سرویس RRAS بر روی آن نصب شده است متصل می شود ،

این سرور در نقش VPN سروری است که در نقطه بیرونی شبکه قرار گرفته است ، ویندوز سون با این سرور بصورت عادی یک ارتباط VPN را برقرار می کند. زمانی که کلاینت ویندوز سون به سرور RRAS

متصل می شود اطلاعات کاربری کاربر از قبیل رمز عبور و نام کاربری از طریق سرویس RRAS برای سرویس RADIUS ارسال می شوند تا احراز هویت در آن انجام شود . در اینجا RADUS همان Network Policy Server است ، این سرور اطلاعات کاربر و کلاینت را بررسی کرده و سپس در خصوص policy هایی را که بایستی به این کلاینت اعمال شوند تصمیم گیری می کند ، این دیگر وظیفه خود NPS است که تصمیم بگیرد

چه policy اعمال شود و در صورت تناقض چه عملی بایستی انجام شود. در محیط لابراتوار شما می توانید از یک سرور فیزیکی هم به عنوان RRAS استفاده کنید و هم بر روی آن سرویس Network Policy را نصب و راه اندازی کنید . اما در محیط واقعی کار شما نبایستی سرویس NPS را بر روی همان سرور VPN ای نصب کنید که در نقطه بیرونی شبکه قرار دارد و این از لحاظ امنیتی درست نیست . 
 

دامین کنترلر


همانطور که در شکل الف میبینید ، یکی از نقش هایی که در این سناریو مورد نیاز است نقش دامین کنترلر است . البته اینطور تصور نکنید که این یک سرور خالی است بلکه این یک زیرساخت کامل اکتیودایرکتوری است .

من مطمئن هستم که شما هم می دانید که مهمترین جزء اکتیودایرکتوری DNS است و اکتیودایرکتوری بدون DNS توان فعالیت را ندارد .پس اگر به این دیاگرام بالا نگاه می کنید فرض کنید که قطعا ما در اینجا یک ساختار DNS و تمامی جزئیات یک ساختار اکتیودایرکتوری را بر روی یک دامین کنترلر موجود داریم . ما در اینجا سناریوی خود را در یک محیط تست و لابراتواری انجام می دهیم و در صورتیکه در محیط واقعی بخواهیم چنین سناریویی را داشته باشیم قطعا از چندین سرور دامین کنترلر و DNS سرور های تفیکیک شده استفاده خواهیم کرد.یکی دیگر از Role هایی که در پیاده سازی سناریوی ما نقش اساسی دارد اما در شکل مشاهده نمی شود Enterprise Certificate Authority یا به زبان ساده تر CA است . قطعا در محیط واقعی ما سروری را بصورت اختصاصی برای میزبانی این نقش در شبکه قرار می دهیم اما در سناریوی فعلی ما همان دامین کنترلر در نقش CA نیز

ایفای نقش خواهد کرد. 
 

نصب Enterprise Certificate Authority یا ECA


دستورالعمل نصب سرور Enterprise Certificate Authority بسته به نوع سیستم عاملی که بر روی آن کار می کنید متفاوت است ، شما می توانید این نقش را بر روی ویندوز سرور 2003 یا ویندوز سرور 2008 نصب و راه اندازی کنید ، به دلیل اینکه در اینجا سرور دامین کنترلی که قصد استفاده از آن به عنوان CA را داریم از ویندوز سرور 2008 به عنوان سیستم عامل سرور استفاده می کند بنابراین ما نیز از همین سیستم عامل برای توضیح فرآیند نصب و راه اندازی CA استفاده می کنیم . 

قبل از اینکه به فرآیند نصب و راه اندازی Certificate Services بپردازیم لازم میدانم که اشاره کنم در یک محیط واقعی شما تمهیدات امنیتی بسیار زیادی برای حفظ امنیت و پایداری CA خود بایستی در نظر بگیرید و تمامی تخمین ها و پیشبینی های لازم را در همان بدو طراحی سیستم در نظر بگیرید . از لحاظ دیگر هیچوقت فراموش نکنید که اگر کسی CA شما را تخریب و یا به آن دسترسی پیدا کند رسما مالک شبکه شما محسوب می شود و شبکه شما هک شده محسوب می شود . به دلیل اینکه این مقاله در خصوص Network Access Protection نوشته شده است و در خصوص CA مطلب چندانی در آن عنوان نمی شود ما هم انرژی چندانی روی این موضوع نمی گذاریم و در حد نظب و راه اندازی یک CA عادی در شبکه به شما آموزش خواهیم داد ، قطعا در روزهای آتی در خصوص Certificate Services و ساختار PKI در سیستم عامل های مایکروسافت مطالبی در قالب مقاله ارائه خواهم کرد . در دنیای واقعی شما انرژی بسیاری برای طراحی یک CA بایستی قرار بدهید اما در اینجا شما نصب و راه اندازی یک CA آزمایشگاهی را در ادامه خواهید دید. 

خوب کار خود را با وارد شدن به ویندوز سرور 2008 و رفتن به قسمت Server Manager و در نهایت قسمت Roles ادامه می دهیم .در قسمت Roles Summary گزینه Add Roles را انتخاب می کنیم . این کار شما را به ویزارد Add Roles خواهد برد . با زدن Next از Welcome Screen عبور کنید و در اینجاست که لیستی از Role های موجود را برای نصب مشاهده خواهید کرد ، همانند تصویر بعدی گزینه Active Directory Certificate Server را انتخاب کنید و بر روی Next کلیک کنید . 

 

نصب Cetificate Authority

 

تصویر ب : ویندوز لیستی از نقش هایی که می تواند بر روی سیستم عامل نصب شود را به شما نمایش می دهد .


در این قسمت شما صفحه ای را مشاهده خواهید کرد که به شما توضیحاتی در خصوص certificate services و مواردی که بایستی به آنها توجه کنید را ارائه خواهد کرد . بر روی Next کلیک کنید تا به صفحه بعدی بروید ، در این صفحه است که شما می توانید Component هایی را که می خواهید نصب شوند را انتخاب کنید . قسمت های Certification Authority و Certificate Authority Web Enrollment را انتخاب کرده و تیک آنها را بزنید . 
 

نصب Cetificate Authority



خوب الان تصویری همانند تصویر ج را مشاهده خواهید کرد ، در این قسمت به شما اعلام می شود که برای اینکه نقش مورد نظر شما به درستی کار کند بایستی یک سری feature یا قابلیت دیگر را نیز فعالی کنید ف از آنجاییکه در اینکه ما نقش Web Enrollment را خواسته ایم بنابراین نقش وب سرور IIS را نیز بایستی نصب کنیم که کاربران بتوانند از طریق وب نیز فعالیت های خود را انجام دهند . بر روی Add Required Role Service کلیک کرده و Next را می زنیم . 

 

نصب Cetificate Authority

 

تصویر ج : نقش Certificate Services Web Enrollment بدون سرویس IIS قادر به ارائه سرویس نیست .


شما الان با صفحه ای مواجه خواهید شد که از شما می پرسد که آیا شما یک enterprise certificate authority می خواهید یا یک standalone certificate authority را می خواهید نصب کنید ؟ گزینه enterprise certificate authority را انتخاب کنید و Next را بزنید . در اینجا از شما سئوال می شود که سرور شما Root CA است یا Subordinate CA است که شما Root CA را انتخاب می کنید . بر روی Next کلیک می کنیم . 

نصب Cetificate Authority


 

نصب Cetificate Authority



در ادامه از شما سئوال خواهد شد که آیا می خواهید یک Private Key جدید ایجاد کنید و یا از یک Private Key موجود استفاده کنید ؟ از آنجایی که شما تاکنون Private Key ای ایجاد نکرده اید بنابراین گزینه Create a New Private Key را انتخاب کنید و باز هم در خاطر داشته باشید که اینها در محیط لابراتوار است و در محیط واقعی تا حدی متفاوت هستند . بر روی Next کلیک کنید . 
 

نصب Cetificate Authority



شما الان بایستی تصویری مشابه تصویر د را مشاهده کنید ، در اینجا از شما در خصوص انتخاب یک cryptographic service provider یا CSP و همچنین انتخاب طول کلید و الگوریتم Hashing مورد نظر شما سئوال خواهد شد . در محیط واقعی بایستی دقیقا به مواردی که در این قسمت مشاهده می کنید دقت کنید ، اما چون ما در اینجا ما در یک سناریوی فرضی از این سرویس استفاده می کنیم این مورد چندان برای ما مهم نیست و پیشفرض ها را انتخاب کرده و Next را می زنیم . 

 

نصب Cetificate Authority

 

شکل د : انتخاب یک الگوریتم درست رمزنگاری در این قسمت در محیط واقعی از اهمیت زیادی برخوردار است .


صفحه بعدی از شما یک نام و یک پسوند ( Distinguished Name and Suffix ) برای انتخاب به عنوان اسم Certificate Server از شما می پرسد ، طبق معمول مقادیر پیشفرض را انتخاب کرده و Next را بزنید . 
 

نصب Cetificate Authority



خوب الان شما صفحه ای را خواهید دید که از شما در خصوص مدت زمان اعتبار certificate ها سئوال می کند . مقدار پیشفرض آن 5 سال است که برای سناریوی ما همین مقدار زمان کفایت می کند ، پس Next را انتخاب کنید . در ادامه صفحه ای را مشاهده می کنید که محل قرار گیری پایگاه داده مربوط به Certificate Server و محل ذخیره سازی لاگ های آنها را نمایش می دهد ، در محیط های عملیاتی انتخاب زمان مناسب و محل مناسب برای ذخیره سازی این محتویات بسیار مهم است ضمن اینکه بایستی Fault Tolerance و Redundancy نیز برای آنها منظور شود . اما از آنجایی که ما در محیط لابراتوار هستیم همین مقادیر پیشفرض برای ما کفایت می کند بنابراین بر روی Next کلیک می کنیم . 
 

نصب Cetificate Authority



همانطور که به خاطر دارید برای یکی از Role ها به نام Web Enrollment ما نیاز به نصب IIS داشتیم که در این قسمت به سراغ نصب این سرویس می رویم ، با تمامی گزینه ها موافقت کرده تا IIS با موفقیت نصب شود و به سراغ صفحه بعدی بروید ، البته در این صفحه حتما به این مسئله دقت کنید که تمامی نیازمندیهای مربوط به CA در Component های IIS بصورت کامل نصب شود . بعد از چک کردن این موضع بر روی Next کلیک کنید .در انتها با صفحه ای مواجه خواهید شد که جزئیات تمامی مواردی که شما برای نصب انتخاب کرده اید را به شما نمایش می دهد ، بر روی گزینه Install کلیک کنید تا ویندوز تمامی فایل های لازم برای نصب این سرویس ها را بر روی سیستم کپی کرده و عملیات نصب را آغاز کند . در صورتتیکه فرآیند نصب به درستی انجام شود سیستم به شما صفحه ای نمایش خواه داد که در آن از نصب درست سرویس CA خبر می دهد ، بر روی Close کلیک کنید تا فرآیند به درستی انجام شود . صفحه آخر را می توانید در تصویر پایین مشاهده کنید . 
 

نصب Certificate Authority

 

شکل ه : زمانیکه فرآیند نصب به درستی انجام شد بر روی دکمه Close کلیک کنید .

 

نتیجه


در این مقاله با نصب و راه اندازی مقدماتی سرویس Certificate Authority آشنا شدید ، در مقاله بعدی به نصب و راه اندازی VPN سرور خواهیم پرداخت ، برای اینکه سناریو را به درستی تا انتها انجام دهید به ترتیب کلیه مراحل را انجام دهید . 

 

برگرفته از سایت http://network.itpro.ir/

 

 

 
طراحی شبکه نصب شبکهطراحی شبکه نصب شبکهطراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه  طراحی شبکه نصب شبکهطراحی شبکه نصب شبکه  طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه  طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکهطراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه طراحی شبکه نصب شبکه
تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رکتجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک  تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک تجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رکتجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رکتجهیزات شبکه  فروش سوییچ  فروش کابل شبکه  فروش رک

 


  • بازدید روز

    ۹۳

    بازدید دیروز

    ۵۷

    بازدید ماه

    ۲۲۳

    بازدید کل

    ۴۲۰۰۸۴

    افراد آنلاین

    ۸۵