Windows Server 2008 Network Infrastructure, Configuring - Aula 11- 10/03/2012

Autor: Thiago Inácio de Matos

Contato: thiago.matos@outlook.com.br

Agente de retransmissão (DHCP Relay)

Protocolo vinculado ao RRAS, que permite a capacidade de encaminhamento de pacotes DHCP

REQUEST em sub-redes distintas. Com este protocolo, temos a capacidade de trabalhar com um

único DCHP em múltiplas sub-redes corporativas.

Layout

LAB

DC

DHCP

RRAS

CLIENT1

CLIENT2

1. Criar uma placa de rede do tipo interna no Hyper-V para a configuração do RRAS;

2. Ingressar os clientes no domínio para verificar as configurações de roteamento;

3. Configurar o DHCP

Windows Server 2008 Network Infrastructure, Configuring - Aula 11- 10/03/2012

Autor: Thiago Inácio de Matos

Contato: thiago.matos@outlook.com.br

Configurando o Agente de retransmissão (DCHP Relay)

Para adicionar o DHCP Relay é necessário seguir os seguintes passos:

No servidor do RRAS

1. Expandir a árvore IPv4;

2. Geral;

3. Botão direito > Novo Protocolo de roteamento (no RRAS o DHCP Relay é visto como um

protocolo)

4. Agente de retransmissão DHCP.

Para configurar o Agente de retransmissão é necessário seguir esses passos, ainda no servidor do

RRAS

Interface de escuta

1. Selecione o item do agente de retransmissão;

2. Botão direito > nova interface;

3. Selecione a interface de escuta (é a interface que fará a requisição através do roteador);

Apontado para o servidor do DHCP

1. Selecione o item do agente de retransmissão;

2. Propriedades;

Windows Server 2008 Network Infrastructure, Configuring - Aula 11- 10/03/2012

Autor: Thiago Inácio de Matos

Contato: thiago.matos@outlook.com.br

3. Adicione o endereço IP do servidor do DHCP.

NAP – Network Access Protection

Componente introduzido com o Windows server 2008, que possui a capacidade de avaliação do

estado de “saúde “do computador, a partir deste estado de “saúde”, indicamos que a mesma terá a

capacidade de obter determinados recursos da rede.

Trabalha com os clientes:

• Windows XP SP3 (Download Adicional);

• Windows Vista;

• Windows 7;

Permite deslocamento dos clientes para área de quarentena.

Atual capacidade de avaliação:

• Firewall;

• Atualizações Automáticas;

• Antivírus

• AntiSpam

Tecnologias integradas ao NAP:

• VPN;

• DHCP;

• IPSec;

• 802.1X

NAP+DHCP

NAP+DHCPimg1

Preparando o servidor de NPS

1. Instalar a função do Serviço de acesso e diretiva de rede;

2. Servidor de diretiva de rede;

No console do NPS autorizar o registro do NPS no AD e adicionar o cliente RADIUS

Clientes e servidores RADIUS > Clientes RADIUS > Adicionar o cliente RADIUS; você só irá

adicionar o cliente caso ele esteja em um equipamento diferente do servidor do NPS(RADIUS)

Definir os elementos de integridade que irão ser validados para definição do estado de “saúde” da

máquina.

Proteção de acesso à rede (lado esquerdo) > Validadores de Integridade do sistema > validador de

integridade de segurança > configurações > botão direito novo.

Windows Server 2008 Network Infrastructure, Configuring - Aula 11- 10/03/2012

Autor: Thiago Inácio de Matos

Contato: thiago.matos@outlook.com.br

Após configurado o SHV, definir as diretivas de integridade que irão ilustrar os retornos do

validadores

Diretivas (expande) > diretivas de integridade > botão direito novo

Criar diretivas de rede posicionadas de acordo com a diretiva de integridade, é a diretiva de rede

quem determina se o cliente terá acesso ou não de acordo com os dados passados pela diretiva de

integridade

Diretiva de rede > botão direito novo > Tipo de servidor de acesso à rede > adicionar > selecionar a

diretiva criada. > especificar a permissão > em caso de DHCP desmarcar todas as opções pois essas

são relacionas da VPN e marcar a última opção > algumas configurações extras > Imposição de

NAP escolher a opção que atende à demanda

Criar a diretiva de solicitação de conexão que indicará condições adicionais para o acesso do

cliente. E para o funcionamento é obrigatório.

Para minimizar problemas o ideal é reiniciar o serviço do NPS

Configuração do servidor DHCP

Associar o NAP ao DHCP e aplicar o ID NAP ao escopo (caso necessário).

Botão direito em IPv4 > Propriedades > guia proteção de acesso à rede (e habilitar ou não para

todos os escopos)

Windows Server 2008 Network Infrastructure, Configuring - Aula 11- 10/03/2012

Autor: Thiago Inácio de Matos

Contato: thiago.matos@outlook.com.br

Configuração das maquinas cliente

O NAP existe três itens de configuração esteja ativados no cliente:

1. Habilitar o serviço de proteção de acesso à rede;

2. Habilitar a central de segurança;

3. Habilitar o agente de quarentena DHCP

Essas configurações podem ser realizadas via GPO

(Habilitar todas elas)

gpmc.msc > Configurações do computador > Configurações do Windows > Configurações de

segurança > Serviços do sistema > Agente de proteção de Acesso à rede

gpmc.msc > Configurações do computador > Modelos administrativos > componentes do

Windows > central de segurança > ativar a central de segurança > proteção de acesso à rede >

gpmc.msc > Configurações do computador > Configurações do Windows > Configurações de

segurança > configuração de cliente NAP > clientes de imposição > cliente de imposição de

quarentena DHCP

IPC:

Windows Server 2008 Network Infrastructure, Configuring - Aula 11- 10/03/2012

Autor: Thiago Inácio de Matos

Contato: thiago.matos@outlook.com.br

• Ao autorizar o servidor do NPS no AD ele cria o grupo de servidores RAS e IAS para que

seja possível a autenticação, caso o servidor do NPS seja mudado você deve adicionar esse

novo servido ao grupo supra citado;

• Os clientes RADIUS são os servidores/serviços que irão encaminhar solicitações para o

servidor RADIUS;

• É possível aplicar o NAP em camadas, como por exemplo range IP da seguinte forma:

◦ Nas configurações da diretiva > Diretiva de rede > botão direito novo > Tipo de servidor

de acesso à rede > adicionar > classe de serviço MS > escolher o ID da rede

◦ No servidor de DHCP é necessário escolher o escopo a ser tratado pelo NAP com o

seguinte passo:

▪ Botão direito no escopo desejado > guia de Proteção de acesso à rede > habilitar o

escopo e marcar a opção de Usar perfil personalizado inserindo o ID escolhido nas

configurações do NAP

• Estado de quarentena é quando o NAP dá acesso somente a os servidores que são capazes de

solucionar o problema, como por exemplo atualização do antivírus e wsus.

• Para colocar o equipamento para ficar em quarentena basta em Imposição de NAP marcar a

opção Permitir acesso limitado

IPSec (Internet Protocolo Security)

Definição recente do protocolo IP que agrega segurança e criptografia aos pacotes transmitidos.

• A ideia do IPSec é garantir a criptografia em camada 3 nas transmissões da infra;

• O IPSec não é da Microsoft, e sim uma implementação de mercado;

• Em ambientes Microsoft, é implantado a partir das GPO's.

Possibilidades de implantação:

• VPN (L2TP);

• Rede local.

Mecanismos de autenticação

• Kerberos V.5;

• Chave pré-compartilhada;

• Certificado.