Bagikan melalui

Mengonfigurasi Firewall untuk Lalu Lintas RADIUS

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Firewall dapat dikonfigurasi untuk mengizinkan atau memblokir jenis lalu lintas IP ke dan dari komputer atau perangkat tempat firewall berjalan. Jika firewall tidak dikonfigurasi dengan benar untuk memungkinkan lalu lintas RADIUS antara klien RADIUS, proksi RADIUS, dan server RADIUS, autentikasi akses jaringan dapat gagal, mencegah pengguna mengakses sumber daya jaringan.

Anda mungkin perlu mengonfigurasi dua jenis firewall untuk memungkinkan lalu lintas RADIUS:

  • Windows Defender Firewall dengan Advanced Security pada server lokal yang menjalankan Network Policy Server (NPS).
  • Firewall yang berjalan pada komputer lain atau perangkat keras.

Windows Firewall pada NPS lokal

Secara default, NPS mengirim dan menerima lalu lintas RADIUS dengan menggunakan port Protokol Datagram Pengguna (UDP) 1812, 1813, 1645, dan 1646. Windows Defender Firewall pada NPS harus dikonfigurasi secara otomatis dengan pengecualian, selama penginstalan NPS, untuk memungkinkan lalu lintas RADIUS ini dikirim dan diterima.

Dengan Server 2019, pengecualian firewall ini memerlukan modifikasi pada pengidentifikasi keamanan akun layanan untuk mendeteksi dan mengizinkan lalu lintas RADIUS secara efektif. Jika perubahan pengidentifikasi keamanan ini tidak dijalankan, firewall akan menghilangkan lalu lintas RADIUS. Dari perintah yang ditinggikan, jalankan sc sidtype IAS unrestricted. Perintah ini mengubah layanan IAS (RADIUS) untuk menggunakan SID unik alih-alih berbagi dengan layanan LAYANAN JARINGAN lainnya.

Oleh karena itu, jika Anda menggunakan port UDP default, Anda tidak perlu mengubah konfigurasi Windows Defender Firewall untuk memungkinkan lalu lintas RADIUS ke dan dari NPS.

Dalam beberapa kasus, Anda mungkin ingin mengubah port yang digunakan NPS untuk lalu lintas RADIUS. Jika Anda mengonfigurasi NPS dan server akses jaringan Anda untuk mengirim dan menerima lalu lintas RADIUS pada port selain default, Anda harus melakukan hal berikut:

  • Hapus pengecualian yang memungkinkan lalu lintas RADIUS pada port default.
  • Buat pengecualian baru yang memungkinkan lalu lintas RADIUS pada port baru.

Untuk informasi selengkapnya, lihat Mengonfigurasi Informasi Port UDP NPS.

Firewall lainnya

Dalam konfigurasi yang paling umum, firewall terhubung ke Internet dan NPS adalah sumber daya intranet yang terhubung ke jaringan perimeter.

Untuk menjangkau pengendali domain dalam intranet, NPS mungkin memiliki:

  • Antarmuka pada jaringan perimeter dan antarmuka pada intranet (perutean IP tidak diaktifkan).
  • Satu antarmuka pada jaringan perimeter. Dalam konfigurasi ini, NPS berkomunikasi dengan pengendali domain melalui firewall lain yang menghubungkan jaringan perimeter ke intranet.

Mengonfigurasi firewall Internet

Firewall yang terhubung ke Internet harus dikonfigurasi dengan filter input dan output pada antarmuka Internetnya (dan, secara opsional, antarmuka perimeter jaringannya), untuk memungkinkan penerusan pesan RADIUS antara klien NPS dan RADIUS atau proksi di Internet. Filter tambahan dapat digunakan untuk memungkinkan pengiriman lalu lintas ke server Web, server VPN, dan jenis server lainnya di jaringan perimeter.

Filter paket input dan output terpisah dapat dikonfigurasi pada antarmuka Internet dan antarmuka jaringan perimeter.

Mengonfigurasi Filter Input pada Antarmuka Internet

Konfigurasikan filter paket input berikut pada antarmuka Internet firewall untuk memungkinkan jenis lalu lintas berikut:

  • Alamat IP tujuan antarmuka jaringan perimeter dan port tujuan UDP 1812 (0x714) NPS. Filter ini memungkinkan lalu lintas autentikasi RADIUS dari klien RADIUS berbasis Internet ke NPS. Ini adalah port UDP default yang digunakan oleh NPS, seperti yang didefinisikan dalam RFC 2865. Jika Anda menggunakan port yang berbeda, ganti nomor port tersebut untuk 1812.
  • Alamat IP tujuan antarmuka jaringan perimeter dan port tujuan UDP 1813 (0x715) NPS. Filter ini memungkinkan lalu lintas akuntansi RADIUS dari klien RADIUS berbasis Internet ke NPS. Ini adalah port UDP default yang digunakan oleh NPS, seperti yang didefinisikan dalam RFC 2866. Jika Anda menggunakan port yang berbeda, ganti nomor port tersebut untuk 1813.
  • (Opsional) Alamat IP tujuan antarmuka jaringan perimeter dan port tujuan UDP 1645 (0x66D) NPS. Filter ini memungkinkan lalu lintas autentikasi RADIUS dari klien RADIUS berbasis Internet ke NPS. Ini adalah port UDP yang digunakan oleh klien RADIUS yang lebih lama.
  • (Opsional) Alamat IP tujuan antarmuka jaringan perimeter dan port tujuan UDP 1646 (0x66E) NPS. Filter ini memungkinkan lalu lintas akuntansi RADIUS dari klien RADIUS berbasis Internet ke NPS. Ini adalah port UDP yang digunakan oleh klien RADIUS yang lebih lama.

Mengonfigurasi Filter Output pada Antarmuka Internet

Konfigurasikan filter output berikut pada antarmuka Internet firewall untuk memungkinkan jenis lalu lintas berikut:

  • Alamat IP sumber antarmuka jaringan perimeter dan port sumber UDP 1812 (0x714) NPS. Filter ini memungkinkan lalu lintas autentikasi RADIUS dari NPS ke klien RADIUS berbasis Internet. Ini adalah port UDP default yang digunakan oleh NPS, seperti yang didefinisikan dalam RFC 2865. Jika Anda menggunakan port yang berbeda, ganti nomor port tersebut untuk 1812.
  • Alamat IP sumber antarmuka jaringan perimeter dan port sumber UDP 1813 (0x715) NPS. Filter ini memungkinkan lalu lintas akuntansi RADIUS dari NPS ke klien RADIUS berbasis Internet. Ini adalah port UDP default yang digunakan oleh NPS, seperti yang didefinisikan dalam RFC 2866. Jika Anda menggunakan port yang berbeda, ganti nomor port tersebut untuk 1813.
  • (Opsional) Alamat IP sumber antarmuka jaringan perimeter dan port sumber UDP 1645 (0x66D) NPS. Filter ini memungkinkan lalu lintas autentikasi RADIUS dari NPS ke klien RADIUS berbasis Internet. Ini adalah port UDP yang digunakan oleh klien RADIUS yang lebih lama.
  • (Opsional) Alamat IP sumber antarmuka jaringan perimeter dan port sumber UDP 1646 (0x66E) NPS. Filter ini memungkinkan lalu lintas akuntansi RADIUS dari NPS ke klien RADIUS berbasis Internet. Ini adalah port UDP yang digunakan oleh klien RADIUS yang lebih lama.

Mengonfigurasi Filter Input pada Antarmuka Jaringan Perimeter

Konfigurasikan filter input berikut pada antarmuka jaringan sekitar firewall untuk memungkinkan jenis lalu lintas berikut:

  • Alamat IP sumber antarmuka jaringan perimeter dan port sumber UDP 1812 (0x714) NPS. Filter ini memungkinkan lalu lintas autentikasi RADIUS dari NPS ke klien RADIUS berbasis Internet. Ini adalah port UDP default yang digunakan oleh NPS, seperti yang didefinisikan dalam RFC 2865. Jika Anda menggunakan port yang berbeda, ganti nomor port tersebut untuk 1812.
  • Alamat IP sumber antarmuka jaringan perimeter dan port sumber UDP 1813 (0x715) NPS. Filter ini memungkinkan lalu lintas akuntansi RADIUS dari NPS ke klien RADIUS berbasis Internet. Ini adalah port UDP default yang digunakan oleh NPS, seperti yang didefinisikan dalam RFC 2866. Jika Anda menggunakan port yang berbeda, ganti nomor port tersebut untuk 1813.
  • (Opsional) Alamat IP sumber antarmuka jaringan perimeter dan port sumber UDP 1645 (0x66D) NPS. Filter ini memungkinkan lalu lintas autentikasi RADIUS dari NPS ke klien RADIUS berbasis Internet. Ini adalah port UDP yang digunakan oleh klien RADIUS yang lebih lama.
  • (Opsional) Alamat IP sumber antarmuka jaringan perimeter dan port sumber UDP 1646 (0x66E) NPS. Filter ini memungkinkan lalu lintas akuntansi RADIUS dari NPS ke klien RADIUS berbasis Internet. Ini adalah port UDP yang digunakan oleh klien RADIUS yang lebih lama.

Mengonfigurasi Filter Output pada Antarmuka Jaringan Perimeter

Konfigurasikan filter paket output berikut pada antarmuka jaringan perimeter firewall untuk memungkinkan jenis lalu lintas berikut:

  • Alamat IP tujuan antarmuka jaringan perimeter dan port tujuan UDP 1812 (0x714) NPS. Filter ini memungkinkan lalu lintas autentikasi RADIUS dari klien RADIUS berbasis Internet ke NPS. Ini adalah port UDP default yang digunakan oleh NPS, seperti yang didefinisikan dalam RFC 2865. Jika Anda menggunakan port yang berbeda, ganti nomor port tersebut untuk 1812.
  • Alamat IP tujuan antarmuka jaringan perimeter dan port tujuan UDP 1813 (0x715) NPS. Filter ini memungkinkan lalu lintas akuntansi RADIUS dari klien RADIUS berbasis Internet ke NPS. Ini adalah port UDP default yang digunakan oleh NPS, seperti yang didefinisikan dalam RFC 2866. Jika Anda menggunakan port yang berbeda, ganti nomor port tersebut untuk 1813.
  • (Opsional) Alamat IP tujuan antarmuka jaringan perimeter dan port tujuan UDP 1645 (0x66D) NPS. Filter ini memungkinkan lalu lintas autentikasi RADIUS dari klien RADIUS berbasis Internet ke NPS. Ini adalah port UDP yang digunakan oleh klien RADIUS yang lebih lama.
  • (Opsional) Alamat IP tujuan antarmuka jaringan perimeter dan port tujuan UDP 1646 (0x66E) NPS. Filter ini memungkinkan lalu lintas akuntansi RADIUS dari klien RADIUS berbasis Internet ke NPS. Ini adalah port UDP yang digunakan oleh klien RADIUS yang lebih lama.

Untuk keamanan tambahan, Anda dapat menggunakan alamat IP setiap klien RADIUS yang mengirim paket melalui firewall untuk menentukan filter lalu lintas antara klien dan alamat IP NPS di jaringan perimeter.

Filter pada antarmuka jaringan perimeter

Konfigurasikan filter paket input berikut pada antarmuka jaringan perimeter firewall intranet untuk memungkinkan jenis lalu lintas berikut:

  • Alamat IP sumber antarmuka jaringan perimeter NPS. Filter ini memungkinkan lalu lintas dari NPS pada jaringan perimeter.

Konfigurasikan filter output berikut pada antarmuka jaringan perimeter firewall intranet untuk memungkinkan jenis lalu lintas berikut:

  • Alamat IP tujuan antarmuka jaringan perimeter NPS. Filter ini memungkinkan lalu lintas ke NPS pada jaringan perimeter.

Filter pada antarmuka intranet

Konfigurasikan filter input berikut pada antarmuka intranet firewall untuk mengizinkan jenis lalu lintas berikut:

  • Alamat IP tujuan antarmuka jaringan perimeter NPS. Filter ini memungkinkan lalu lintas ke NPS pada jaringan perimeter.

Konfigurasikan filter paket output berikut pada antarmuka intranet firewall untuk memungkinkan jenis lalu lintas berikut:

  • Alamat IP sumber antarmuka jaringan perimeter NPS. Filter ini memungkinkan lalu lintas dari NPS pada jaringan perimeter.

Untuk informasi selengkapnya tentang mengelola NPS, lihat Mengelola Server Kebijakan Jaringan.

Untuk informasi selengkapnya tentang NPS, lihat Server Kebijakan Jaringan (NPS).