關於我自己

I'm...


Microsoft MVP:Enterprise Security
Since 2010

我服務於

登豐數位科技 | 也可以宣傳你的粉絲專頁

部落格觀查

Locations of visitors to this page

我是廣告啦~

DotBlogs! Cogate!!!

最新回應

Cyberoam全系列防火牆是屬於Application Level的防火牆,也是目前我們在著重於網站安全的選擇之一,畢竟目前所有的防火牆幾乎都是Network Level加上各大模組,將防火牆的功能提升至Application Level,當然在Cyberoam防火牆其中的一個特性,是可以透過AD或LDAP驗證後,去整合防火牆的連線規範,透過不同的使用者和不同的安全規範,來達成企業的各項不同的安全需求,因此在身份驗證就成了企業最基本的需求。目前這項功能並不是所有防火牆都能滿足企業的需求,因此在整合驗證就成了其中一個賣點。

Jason於今年六月因客戶的需求,必須建置Windows 2008 R2為基礎的AD架構,在建置過程中,發現Cyberoam竟然在整合時會產生衝突,且無法將Cyberoam的驗證服務整合到AD之下,如此一來,就無法對使用者的連線行為進行更細步的管理,在此過程中翻閱了所有Cyberoam及Microsoft的KB,當然也向原廠奕瑞科技求援,因為這個問題並不是單一事件造成,為了讓其它網友鄉民們遇到相同狀況時,可以立即處理,不需要再進行測試,特別將本案中所遇到的各種問題整理一下,跟大家一起分享。

首先,我們先說明一下架構,環境中除了有以Windows 2008 R2建置的DC以外,也有以Windows 2003 R2所建置的DC,但是,為了使置放於DMZ區的設備可以進行驗證,因此於DMZ區中置放乙台RODC(Reader-Only DC),RODC相關文件,大家可以參閱下列連結(http://technet.microsoft.com/zh-tw/library/cc753223%28WS.10%29.aspx RODC 功能),但是奇怪的事情就此發生了,在未建置乙台RODC之前,是可以將Cyberoam驗證服務整合併入AD之中,驗證的設定如下列連結所示 (http://kb.cyberoam.com/default.asp?id=524&Lang=1 Implement Single Sign On authentication with Active Directory Integration),而其驗證處理流程如下圖所示:(圖片來源於http://www.cyberoam.com/downloads/guides/V7000/Cyberoam%20-%20PDC%20Integration%20Guide.pdf)

 image

圖片上淺顯易懂的,讓我們知道當使用者連上網路時,Cyberoam會將使用者驗證的需求轉發給設定驗證清單上的主機,完成驗證後,會將驗證結果回饋給Cyberoam,Cyberoam再針對F/W Policy去判斷這個使用者是否可以通行。

 

但是問題來了,我們怎麼去判斷這個使用者可以透過驗證的Policy連到網路上呢?

在Cyberoam的驗證方式中,化零為整的,直接以群組的方式來進行驗證,因此使用者的驗證均透過所屬的群組來進行認定,所以在Cyberoam上必須設定驗證服務主機進行驗證。

而Jason所遇到的問題即是發生在加入所有用戶端(Windows 7, XP)及RODC後,所產生的問題,在混合環境中會自動的引用三項本機安全性原則,原本架起AD時,在Default Domain Controllers Policy中並無嚴格規範這三項:

  1. 網域控制站:LDAP伺服器簽章要求(無)
  2. 網路安全性:LDAP用戶端簽章要求(尚未定義)
  3. 網路安全性:LAN Manager驗證等級 (尚未定義)

如下圖所示:

ad-ddcp

 

但是在建置好後,在Default Domain Controllers Policy中確出現了這三項的設定變成下列所示:

  1. 網域控制站:LDAP伺服器簽章要求(要求簽章)
  2. 網路安全性:LDAP用戶端簽章要求(要求簽章)
  3. 網路安全性:LAN Manager驗證等級 (只傳送NTLMv2回應)

如下圖所示:

ad-ddcp-1

cyberoam-testconnection-1

 

因此在查閱安全性原則後,發現了這三項的變化,而以可以達成SSO及安全的衡量之下,建議改為下列選項,即可完成驗證服務的基本要求,並且在指定要做SSO存取來源的驗證主機上開啟TCP 389 Port,凖予Cyberoam LAN Port IP存取即可。

  1. 網域控制站:LDAP伺服器簽章要求(無) < -  因XP不支援,只能設定無。
  2. 網路安全性:LDAP用戶端簽章要求(交涉要求) < - 可啟動的用戶端則啟動,不支援者則略過
  3. 網路安全性:LAN Manager驗證等級 (傳送LM及NTLM回應) < - 為使XP用戶可存取資源指定為本項

cyberoam-testconnection

 

以上三項本機原則的內容如下所示:

網域控制站: LDAP 伺服器簽章要求

這項安全性設定決定 LDAP 伺服器是否需要與 LDAP 用戶端交涉簽章,如下所示:

無: 不需要資料簽章即可與伺服器連結。如果用戶端要求資料簽章,伺服器可提供支援。
要求簽章: 除非使用 TLS\SSL ,否則必須交涉 LDAP 資料簽章選項。

預設值: 未定義此原則,相當於設定為 [無]。

警告

如果您將伺服器設定為 [要求簽章],那麼您也必須設定用戶端。如果未設定用戶端,會造成與伺服器的連線中斷。

注意

此設定對於 LDAP 簡單繫結或透過 SSL 進行的 LDAP 簡單繫結沒有任何影響。Windows XP Professional 隨附的所有 Microsoft LDAP 用戶端均不使用 LDAP 簡單繫結或透過 SSL 進行的 LDAP 簡單繫結與網域控制站通訊。
如果需要簽章,則將拒絕 LDAP 簡單繫結和透過 SSL 進行的 LDAP 簡單繫結。執行 Windows XP Professional 或 Windows Server 2003 系列的所有 Microsoft LDAP 用戶端均不使用 LDAP 簡單繫結或透過 SSL 進行的 LDAP 簡單繫結與目錄服務繫結。

 

網路安全性: LDAP 用戶端簽章要求

此安全性設定決定代表發出 LDAP BIND 要求之用戶端所要求的資料簽章層級,如下:

無: LDAP BIND 要求隨呼叫者指定的選項發出。
交涉簽章: 若未啟動傳輸層安全性/安全通訊端層 (TLS\SSL),會隨呼叫者指定的選項以外的 LDAP 資料簽章選項初始化 LDAP BIND 要求。若已啟動 TLS\SSL,會隨呼叫者指定的選項初始化 LDAP BIND 要求。
要求簽章: 這和交涉簽章相同。不過,若 LDAP 伺服器的中繼 saslBindInProgress 回應未指示 LDAP 流量簽章為必要的,則會告知呼叫者 LDAP BIND 命令要求失敗。

警告

如果您將伺服器設定為 [要求簽章],那麼您也必須設定用戶端。如果未設定用戶端,會造成與伺服器的連線中斷。

注意: 此設定對於 ldap_simple_bind 或 ldap_simple_bind_s 沒有任何影響。Windows XP Professional 隨附的所有 Microsoft LDAP 用戶端均不使用 ldap_simple_bind 或 ldap_simple_bind_s 與網域控制站通訊。

 

網路安全性: LAN Manager 驗證等級

此安全性設定決定使用哪種 Challenge/Response 驗證通訊協定登入網路。此選擇會影響用戶端使用的驗證通訊協定層級、交涉的工作階段安全性層級,以及伺服器接受的驗證等級,如下:

傳送 LM 和 NTLM 回應: 用戶端使用 LM 和 NTLM 驗證,絕不使用 NTLMv2 工作階段安全性; 網域控制站接受 LM、NTLM 及 NTLMv2 驗證。

傳送 LM 和 NTLM - 如有交涉,使用 NTLMv2 工作階段安全性: 用戶端使用 LM 和 NTLM 驗證,而且若伺服器支援,則會使用 NTLMv2 工作階段安全性; 網域控制站接受 LM、NTLM 以及 NTLMv2 驗證。

只傳送 NTLM 回應: 用戶端只使用 NTLM 驗證,而且若伺服器支援,則會使用 NTLMv2 工作階段安全性; 網域控制站接受 LM、NTLM 及 NTLMv2 驗證。

只傳送 NTLMv2 回應: 用戶端只使用 NTLMv2 驗證,而且若伺服器支援,則會使用 NTLMv2 工作階段安全性; 網域控制站接受 LM、NTLM 及 NTLMv2 驗證。

只傳送 NTLMv2 回應\拒絕 LM: 用戶端只使用 NTLMv2 驗證,而且若伺服器支援,則會使用 NTLMv2 工作階段安全性; 網域控制站拒絕 LM (只接受 NTLM 與 NTLMv2 驗證)。

只傳送 NTLMv2 回應\拒絕 LM 和 NTLM: 用戶端只使用 NTLMv2 驗證,而且若伺服器支援,則會使用 NTLMv2 工作階段安全性; 網域控制站拒絕 LM 和 NTLM (只接受 NTLMv2 驗證)。

重要

此設定會影響執行 Windows 2000 Server、Windows 2000 Professional、Windows XP Professional 及 Windows Server 2003 系列之電腦和執行 Windows NT 4.0 或更舊版本的電腦經由網路通訊的能力。例如,目前執行 Windows NT 4.0 SP4 或更舊版本的電腦並不支援 NTLMv2。執行 Windows 95 和 Windows 98 的電腦不支援 NTLM。

預設值:

Windows 2000 與 windows XP: 傳送 LM 和 NTLM 回應

Windows Server 2003: 只傳送 NTLM 回應

Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2: 只傳送 NTLMv2 回應


Anything keeps Availability.
Anywhere keeps Integrity.
Anytime keeps Confidentiality.
keep A.I.C. = Information Security




DotBlogs Tags: AD Cyberoam GPO Windows 2008 r2

回應

  • 超級新手 2011/7/15 下午 02:39 回覆

    # re: Windows 2008 R2 AD整合Cyberoam防火牆驗證服務-本機安全性問題排除

    不好意思jason大 我問個笨問題
    如果fire wall本身支援radius

    那本身支援AD驗證跟透過radius轉拋帳密驗證的差別在哪?
    是說radius本身的機制會有漏洞嗎?
    還是連線或驗證效能上有差異?

  • Jason 2011/7/17 上午 02:35 回覆

    # re: Windows 2008 R2 AD整合Cyberoam防火牆驗證服務-本機安全性問題排除

    to 超級新手 :
     

    太客氣了,沒有人是全能的,透過AD驗證是以Kerberos做為驗證基礎,以TCP 為運作服務的協定,而RADIUS則是以UDP為主要服務協定,由於我們所需要的是直接可以整合目錄驗證,當然是直接可以用最短時間內完成驗證是最好的,透過RADIUS再轉拋給AD就多了一個連線成本,當然可以用AD就用AD。

    而RADIUS的弱點嘛!最有名的就是Replay Attack,把驗證的過程完整的收錄下來,再將驗證資訊重送乙次,即可取得系統存取權,但現在此連線的效能或是差異的問題,就看底層驗證服務提供者為何,若是AD提供驗證,當然以AD驗證較有效率,而底層若是其它驗證方式,當然就可以透過RADIUS來轉介達成SSO的目的。

    有任何問題歡迎再提出,大家一起相互討論!

  • 江選成 2011/10/11 上午 09:58 回覆

    # re: Windows 2008 R2 AD整合Cyberoam防火牆驗證服務-本機安全性問題排除

    Dear Jason:
    您好!初次向您詢問問題
    目前有遇到一個測試中的棘手問題
    是這樣的,我們目前環境是Novell&Unix為主
    但是想將Novell轉換成AD環境,
    所以我有起一台AD server
    但是我們公司內所有程式資料都是經由Unix撈取
    所以我得想辦法讓AD & UNIX密碼同步
    因為這塊密碼同步我沒經驗,有些細節也想向您詢問
    希望能懇請您指點,不知道能否向您詢問聯絡方式
    我的email:
    jameschiang@nspo.narl.org.tw
    jameschiang0210@hotmail.com

    Best Regards.

  • Jason 2011/10/11 下午 01:37 回覆

    # re: Windows 2008 R2 AD整合Cyberoam防火牆驗證服務-本機安全性問題排除

    to 江選成 :
     

    已回覆給您了!

  • KXW 2012/2/7 上午 10:57 回覆

    # re: Windows 2008 R2 AD整合Cyberoam防火牆驗證服務-本機安全性問題排除

    你好
    本公司是使用netscreen(2006至今),但目前有許多ap無法管制,user上網權限也要加以限制,賽博龍這台稱說可以用ad限制,那是否代表要在所有ad上裝agent才能使用此項功能。

  • Jason 2012/2/15 下午 12:42 回覆

    # re: Windows 2008 R2 AD整合Cyberoam防火牆驗證服務-本機安全性問題排除

    to KXW :
    這台設備的AD整合是不需要在AD上裝工具,但是若要達成SSO的目的,它就必須在用戶端裝一個AGENT,它是透過這個AGENT直接將驗證的需求送給AD,去驗證所有的使用者連線者是否合法使用!

    有任何問題歡迎您再度提出!

  • Yuta 2012/4/9 上午 10:12 回覆

    # re: Windows 2008 R2 AD整合Cyberoam防火牆驗證服務-本機安全性問題排除

    to Jason :

    其實整合AD有兩種方式,一種是在Client端部署AGENT,但這樣有點麻煩。另一種就是在DC上安裝CTAS,做好設定之後就可以了。

    http://kb.cyberoam.com/default.asp?id=1264&Lang=1

  • Jason 2012/4/9 下午 01:06 回覆

    # re: Windows 2008 R2 AD整合Cyberoam防火牆驗證服務-本機安全性問題排除

    to Yuta :
    沒錯! 看情況而定! 畢竟都還是得由Cyberoam轉送驗證資訊過來給AD,CTAS和Agent各有不同的效能消耗及安全考量,沒有裝agent的得要到驗證畫面去做登入動作,而裝在CTAS上的,是不管內外人員,都會將驗證資訊送給AD去驗證,所以是看情況而定的!


*標 題:

*姓 名:

 電子郵件: (將不會被顯示)

 個人網頁:

*回應

登入後使用進階評論

Please add 7 and 3 and type the answer here: