Configurare i firewall per il traffico RADIUS
I firewall possono essere configurati per consentire o bloccare i tipi di traffico IP da e verso il computer o il dispositivo in cui è in esecuzione il firewall. Se i firewall non sono configurati correttamente per consentire il traffico RADIUS tra client RADIUS, proxy RADIUS e server RADIUS, l'autenticazione dell'accesso alla rete può non riuscire, impedendo agli utenti di accedere alle risorse di rete.
Potrebbe essere necessario configurare due tipi di firewall per consentire il traffico RADIUS:
- Windows Defender Firewall con sicurezza avanzata nel server locale che esegue Server dei criteri di rete.Windows Defender Firewall with Advanced Security on the local server running Network Policy Server (NPS).
- Firewall in esecuzione in altri computer o dispositivi hardware.
Windows Firewall in NPS
Per impostazione predefinita, NPS invia e riceve traffico RADIUS usando le porte UDP (User Datagram Protocol) 1812, 1813, 1645 e 1646. Windows Defender Firewall in NPS deve essere configurato automaticamente con eccezioni, durante l'installazione di NPS, per consentire l'invio e la ricezione del traffico RADIUS.
Con Server 2019 questa eccezione del firewall richiede una modifica all'identificatore di sicurezza dell'account del servizio per rilevare e consentire il traffico RADIUS in modo efficace. Se questa modifica dell'identificatore di sicurezza non viene eseguita, il firewall rilascia il traffico RADIUS. Da un prompt dei comandi con privilegi elevati, eseguire sc sidtype IAS unrestricted
. Questo comando modifica il servizio IAS (RADIUS) in modo da usare un SID univoco anziché condividerlo con altri servizi NETWORK SERVICE.
Pertanto, se si usano le porte UDP predefinite, non è necessario modificare la configurazione di Windows Defender Firewall per consentire il traffico RADIUS da e verso NPS.
In alcuni casi, potrebbe essere necessario modificare le porte usate da NPS per il traffico RADIUS. Se si configura NPS e i server di accesso alla rete per inviare e ricevere traffico RADIUS su porte diverse dalle impostazioni predefinite, è necessario eseguire le operazioni seguenti:
- Rimuovere le eccezioni che consentono il traffico RADIUS sulle porte predefinite.
- Creare nuove eccezioni che consentono il traffico RADIUS sulle nuove porte.
Per maggiori informazioni, consultare la sezione Configurare le informazioni sulla porta UDP NPS.
Altri firewall
Nella configurazione più comune, il firewall è connesso a Internet e NPS è una risorsa Intranet connessa alla rete perimetrale.
Per raggiungere il controller di dominio all'interno della Intranet, NPS potrebbe avere:
- Interfaccia sulla rete perimetrale e un'interfaccia nella Intranet (il routing IP non è abilitato).
- Una singola interfaccia nella rete perimetrale. In questa configurazione, NPS comunica con i controller di dominio tramite un altro firewall che connette la rete perimetrale alla intranet.
Configurazione del firewall Internet
Il firewall connesso a Internet deve essere configurato con filtri di input e output nella relativa interfaccia Internet (e, facoltativamente, l'interfaccia perimetrale di rete), per consentire l'inoltro di messaggi RADIUS tra i client NPS e RADIUS o proxy su Internet. È possibile usare filtri aggiuntivi per consentire il passaggio del traffico a server Web, server VPN e altri tipi di server nella rete perimetrale.
È possibile configurare filtri di pacchetti di input e output separati nell'interfaccia Internet e nell'interfaccia di rete perimetrale.
Configurare i filtri di input nell'interfaccia Internet
Configurare i filtri di pacchetti di input seguenti nell'interfaccia Internet del firewall per consentire i tipi di traffico seguenti:
- Indirizzo IP di destinazione dell'interfaccia di rete perimetrale e della porta di destinazione UDP 1812 (0x714) del server dei criteri di rete. Questo filtro consente il traffico di autenticazione RADIUS dai client RADIUS basati su Internet a NPS. Si tratta della porta UDP predefinita usata da NPS, come definito in RFC 2865. Se si usa una porta diversa, sostituire il numero di porta 1812.
- Indirizzo IP di destinazione dell'interfaccia di rete perimetrale e della porta di destinazione UDP 1813 (0x715) di NPS. Questo filtro consente il traffico di contabilità RADIUS dai client RADIUS basati su Internet a NPS. Si tratta della porta UDP predefinita usata da NPS, come definito in RFC 2866. Se si usa una porta diversa, sostituire il numero di porta 1813.
- (Facoltativo) Indirizzo IP di destinazione dell'interfaccia di rete perimetrale e della porta di destinazione UDP 1645 (0x66D) di NPS. Questo filtro consente il traffico di autenticazione RADIUS dai client RADIUS basati su Internet a NPS. Si tratta della porta UDP usata dai client RADIUS meno recenti.
- (Facoltativo) Indirizzo IP di destinazione dell'interfaccia di rete perimetrale e della porta di destinazione UDP 1646 (0x66E) di NPS. Questo filtro consente il traffico di contabilità RADIUS dai client RADIUS basati su Internet a NPS. Si tratta della porta UDP usata dai client RADIUS meno recenti.
Configurare i filtri di output nell'interfaccia Internet
Configurare i filtri di output seguenti nell'interfaccia Internet del firewall per consentire i tipi di traffico seguenti:
- Indirizzo IP di origine dell'interfaccia di rete perimetrale e porta di origine UDP 1812 (0x714) di NPS. Questo filtro consente il traffico di autenticazione RADIUS da NPS ai client RADIUS basati su Internet. Si tratta della porta UDP predefinita usata da NPS, come definito in RFC 2865. Se si usa una porta diversa, sostituire il numero di porta 1812.
- Indirizzo IP di origine dell'interfaccia di rete perimetrale e porta di origine UDP 1813 (0x715) di NPS. Questo filtro consente il traffico di contabilità RADIUS da NPS ai client RADIUS basati su Internet. Si tratta della porta UDP predefinita usata da NPS, come definito in RFC 2866. Se si usa una porta diversa, sostituire il numero di porta 1813.
- (Facoltativo) Indirizzo IP di origine dell'interfaccia di rete perimetrale e della porta di origine UDP 1645 (0x66D) del server dei criteri di rete. Questo filtro consente il traffico di autenticazione RADIUS da NPS ai client RADIUS basati su Internet. Si tratta della porta UDP usata dai client RADIUS meno recenti.
- (Facoltativo) Indirizzo IP di origine dell'interfaccia di rete perimetrale e della porta di origine UDP 1646 (0x66E) del server dei criteri di rete. Questo filtro consente il traffico di contabilità RADIUS da NPS ai client RADIUS basati su Internet. Si tratta della porta UDP usata dai client RADIUS meno recenti.
Configurare i filtri di input nell'interfaccia di rete perimetrale
Configurare i filtri di pacchetti di input seguenti nell'interfaccia di rete del perimetro del firewall per consentire i tipi di traffico seguenti:
- Indirizzo IP di origine dell'interfaccia di rete perimetrale e porta di origine UDP 1812 (0x714) di NPS. Questo filtro consente il traffico di autenticazione RADIUS da NPS ai client RADIUS basati su Internet. Si tratta della porta UDP predefinita usata da NPS, come definito in RFC 2865. Se si usa una porta diversa, sostituire il numero di porta 1812.
- Indirizzo IP di origine dell'interfaccia di rete perimetrale e porta di origine UDP 1813 (0x715) di NPS. Questo filtro consente il traffico di contabilità RADIUS da NPS ai client RADIUS basati su Internet. Si tratta della porta UDP predefinita usata da NPS, come definito in RFC 2866. Se si usa una porta diversa, sostituire il numero di porta 1813.
- (Facoltativo) Indirizzo IP di origine dell'interfaccia di rete perimetrale e della porta di origine UDP 1645 (0x66D) del server dei criteri di rete. Questo filtro consente il traffico di autenticazione RADIUS da NPS ai client RADIUS basati su Internet. Si tratta della porta UDP usata dai client RADIUS meno recenti.
- (Facoltativo) Indirizzo IP di origine dell'interfaccia di rete perimetrale e della porta di origine UDP 1646 (0x66E) del server dei criteri di rete. Questo filtro consente il traffico di contabilità RADIUS da NPS ai client RADIUS basati su Internet. Si tratta della porta UDP usata dai client RADIUS meno recenti.
Configurare i filtri di output nell'interfaccia di rete perimetrale
Configurare i filtri di pacchetti di output seguenti nell'interfaccia di rete del perimetro del firewall per consentire i tipi di traffico seguenti:
- Indirizzo IP di destinazione dell'interfaccia di rete perimetrale e della porta di destinazione UDP 1812 (0x714) del server dei criteri di rete. Questo filtro consente il traffico di autenticazione RADIUS dai client RADIUS basati su Internet a NPS. Si tratta della porta UDP predefinita usata da NPS, come definito in RFC 2865. Se si usa una porta diversa, sostituire il numero di porta 1812.
- Indirizzo IP di destinazione dell'interfaccia di rete perimetrale e della porta di destinazione UDP 1813 (0x715) di NPS. Questo filtro consente il traffico di contabilità RADIUS dai client RADIUS basati su Internet a NPS. Si tratta della porta UDP predefinita usata da NPS, come definito in RFC 2866. Se si usa una porta diversa, sostituire il numero di porta 1813.
- (Facoltativo) Indirizzo IP di destinazione dell'interfaccia di rete perimetrale e della porta di destinazione UDP 1645 (0x66D) di NPS. Questo filtro consente il traffico di autenticazione RADIUS dai client RADIUS basati su Internet a NPS. Si tratta della porta UDP usata dai client RADIUS meno recenti.
- (Facoltativo) Indirizzo IP di destinazione dell'interfaccia di rete perimetrale e della porta di destinazione UDP 1646 (0x66E) di NPS. Questo filtro consente il traffico di contabilità RADIUS dai client RADIUS basati su Internet a NPS. Si tratta della porta UDP usata dai client RADIUS meno recenti.
Per una maggiore sicurezza, è possibile usare gli indirizzi IP di ogni client RADIUS che invia i pacchetti attraverso il firewall per definire filtri per il traffico tra il client e l'indirizzo IP del server dei criteri di rete nella rete perimetrale.
Filtri nell'interfaccia di rete perimetrale
Configurare i filtri di pacchetti di input seguenti nell'interfaccia di rete del perimetro del firewall Intranet per consentire i tipi di traffico seguenti:
- Indirizzo IP di origine dell'interfaccia di rete perimetrale di NPS. Questo filtro consente il traffico da NPS nella rete perimetrale.
Configurare i filtri di pacchetti di output seguenti nell'interfaccia di rete del perimetro del firewall Intranet per consentire i tipi di traffico seguenti:
- Indirizzo IP di destinazione dell'interfaccia di rete perimetrale di NPS. Questo filtro consente il traffico verso NPS nella rete perimetrale.
Filtri nell'interfaccia Intranet
Configurare i filtri di input seguenti nell'interfaccia Intranet del firewall per consentire i tipi di traffico seguenti:
- Indirizzo IP di destinazione dell'interfaccia di rete perimetrale di NPS. Questo filtro consente il traffico verso NPS nella rete perimetrale.
Configurare i filtri di pacchetti di output seguenti nell'interfaccia Intranet del firewall per consentire i tipi di traffico seguenti:
- Indirizzo IP di origine dell'interfaccia di rete perimetrale di NPS. Questo filtro consente il traffico da NPS nella rete perimetrale.
Per maggiori informazioni sulla gestione di NPS, consultare la sezione Gestione server dei criteri di rete.
Per maggiori informazioni su NPS, consultare la sezione Server dei criteri di rete (NPS).